285 миллионов были украдены за 12 минут, не из-за ошибки, а потому что система доверяла людям больше, чем следовало.

1 апреля 2026 года протокол Drift, крупнейшая перпетуальная децентрализованная биржа на Solana, был взломан на сумму $285M. Перед атакой протокол имел около $550M в общем заблокированного капитала, и более половины из этого было фактически уничтожено за считанные минуты.

Главное здесь: ничего не было сломано на уровне кода. Не было ошибок в смарт-контрактах. Система работала точно так, как было задумано.

Злоумышленники потратили примерно шесть месяцев на подготовку доступа. В конце 2025 года они подходили к участникам, выдавая себя за легитимную торговую фирму, посещали реальные конференции, вели технические обсуждения и даже внедряли более $1M в экосистему, чтобы казаться надежными. Со временем они завоевали доверие и внедрили вредоносные инструменты через общие репозитории кода и фальшивые приложения. Это позволило им скомпрометировать устройства участников, подключенных к управлению.

Далее они сосредоточились на слое управления, а не на коде.

Drift использовал мультиподпись 2 из 5 без таймлоков, что означало, что любые два подписанта могли мгновенно одобрить административные действия. Злоумышленники использовали это, заставляя подписантов заранее одобрять транзакции с помощью функции Solana, называемой долговечными nonce, которая позволяет подписанной транзакции оставаться действительной бесконечно долго. Эти одобрения собирались за недели до взлома и не могли быть отменены позже.

Одновременно злоумышленники создали фальшивый токен под названием CVT. Они выпустили 750 миллионов токенов, добавили минимальную ликвидность и использовали wash-трейдинг, чтобы создать видимость реального $1 актива. Система оракулов протокола приняла эту цену как действительную, поскольку не было строгих проверок ликвидности или валидации.

Когда всё было готово, выполнение заняло около 12 минут.

Они использовали заранее одобренные транзакции, чтобы взять контроль над управлением, выставили фальшивый токен в качестве залога, манипулировали его ценой через собственный оракул и повысили лимиты на вывод, фактически устранив все контрольные механизмы риска. Затем они внесли фальшивый залог и взяли в долг реальные активы под него через несколько сейфов.

Всего было проведено 31 транзакция, в результате которых было украдено около $285 миллионов активов, включая USDC, ETH, токены на базе SOL и другие.

В течение нескольких часов средства были перемещены между цепочками. Злоумышленники обменяли активы на USDC, перевели через мост более $200M на Ethereum в более чем 100 транзакциях, конвертировали их примерно в 129 000 ETH и распределили по нескольким кошелькам.

Атака была связана с группой Lazarus, которая за последние годы украла более $6B из криптоэкосистем.

Это не было сбоем блокчейн-технологий. Это был сбой в управлении, человеческое доверие.

Это было сочетание:

• Долгосрочной социальной инженерии
• Предварительно одобренного доступа к управлению
• Фальшивого залога, проходящего системные проверки
• Мгновенного исполнения без задержек и защитных механизмов