#DriftProtocolHacked

Ограбление протокола Drift: мастер-класс по социальной инженерии в DeFi
В ярком напоминании о том, что децентрализованные финансы не застрахованы от человеческих и организационных уязвимостей, протокол Drift — крупнейшая децентрализованная платформа для бессрочной торговли на Solana — стал жертвой одной из самых изощренных атак в истории блокчейна. 1 апреля 2026 года за менее чем двенадцать минут злоумышленники вывели $285 миллионов с протокола, не через уязвимости смарт-контрактов или эксплойты флеш-займов, а посредством тщательно спланированной операции социальной инженерии.
Это был не типичный взлом DeFi. Это была терпеливая, тщательно спланированная кампания, начавшаяся за несколько месяцев до этого, показывающая, как человеческие факторы и операционная безопасность теперь могут стать так же важны, как и безопасность кода в децентрализованных системах.
Понимание протокола Drift
Чтобы оценить масштаб атаки, важно понять роль Drift в экосистеме Solana. Drift обеспечивает децентрализованную торговлю бессрочными фьючерсами нативно на Solana. К сентябрю 2025 года протокол имел $1,5 миллиарда в общей заблокированной стоимости (TVL), что отражает доверие тысяч трейдеров и институциональных участников.
Даже к апрелю 2026 года TVL составлял около $550 миллионов, с капиталом, внесённым широкой базой пользователей, включая профессиональных трейдеров. Институциональная инфраструктура Drift и уважаемая репутация сделали его основной целью, подчеркивая, что злоумышленники теперь сосредотачиваются на высокопрофильных, хорошо капитализированных платформах, а не на меньших, менее защищённых протоколах.
Хронология атаки
1. Внедрение (Осень 2025 – март 2026)
Злоумышленники изначально выдавали себя за легитимную фирму, занимающуюся количественной торговлей. Они активно взаимодействовали с участниками Drift — посещали конференции DeFi, участвовали в отраслевых каналах и налаживали личные связи с ключевыми членами команды. Для повышения доверия они внесли более $1 миллионов в Drift, заручившись статусом «реальных» участников с реальными ставками.
2. Компрометация устройств
Получив доверие, злоумышленники внедрили вредоносные репозитории кода и фальшивое приложение кошелька на устройства участников Drift. Это обеспечило доступ к административным учетным данным и приватным ключам, связанным с мультиподписным советом управления, ответственным за одобрение критических административных транзакций.
3. Использование долговечных nonce
Техническая изощренность заключается в манипуляциях злоумышленников с функцией долговечных nonce в Solana. Предварительно подписав серию административных транзакций с использованием скомпрометированных ключей, они обошли лимиты на вывод средств и получили полный доступ к хранилищам протокола. В течение нескольких недель они манипулировали одобрениями мультиподписей, подготавливая почву для точечного вывода.
4. Вывод средств (1 апреля 2026, 16:00 UTC)
За менее чем двенадцать минут злоумышленники опустошили почти 20 хранилищ, среди которых:
Токены JLP (Jupiter Liquidity Provider): $155 миллион
Стейбкоины USDC: $232 миллион
Обёрнутый Биткоин (wBTC) и Solana (SOL)
Различные токены для ликвидного стекинга
Украденные активы были конвертированы в стейбкоины и частично переведены на Ethereum, что усложнило отслеживание. Вредоносные репозитории и приложения кошельков были быстро удалены с устройств после выполнения атаки.
Подтвержденный эффект
Общий украденный объем: $285 миллион
TVL до атаки: $550 миллион
TVL после атаки: $247 миллион
Процент утечки: >50%
Время выполнения: <12 минут
Выведено из хранилищ: около 20
Финансирование тестового взлома: за 8 дней до
Рейтинг DeFi 2026: крупнейший однократный взлом года
Последствия для токена Drift
Реакция рынка была мгновенной:
Цена до взлома: $0.073
Минимум после взлома: $0.040
Однодневное снижение: 47%
RSI: 17 (глубоко перепродан)
MACD: отрицательный
Эффекты распространения
Атака вызвала цепную реакцию в экосистеме Solana. Вывод капитала повлиял на несколько платформ:
Jito, Raydium, Sanctum: отток TVL 3.8–4.3% за один день
Цена SOL: снизилась до около $78, с $67 и $60 отмеченными как ключевые зоны поддержки
Эмитент USDC (Circle): подвергся критике за задержку вмешательства
Расследование
Атака вызвала немедленное привлечение команды Mandiant — элитного подразделения кибербезопасности Google. Вибху Норби из Фонда Solana подтвердил, что утечка произошла не из-за уязвимости протокола, а из-за сбоя операционной безопасности, подчеркнув, что атаки социальной инженерии теперь представляют собой экзистенциальную угрозу для платформ DeFi.
Уроки для DeFi
Взлом Drift выявляет новую парадигму управления рисками в DeFi:
Человеческий фактор: мультиподписное управление можно скомпрометировать через социальную инженерию.
Долговечные Nonces: легитимные механизмы блокчейна могут быть использованы как оружие.
Безопасность участников: личные устройства и кошельки — первоочередные риски.
Протоколы, управляющие более чем $50 миллионом пользовательских средств, теперь вынуждены внедрять:
Аппаратные модули безопасности (HSM)
Подписи в изолированных средах
Формальные тесты социальной инженерии
Акцент смещается с технических аудитов на организационную устойчивость.
Итог
Протокол Drift был тщательно нацелен. Злоумышленники потратили месяцы на построение доверия, вложили более $1 миллионов и осуществили ограбление за 12 минут на сумму $285 миллионов. Этот случай подчеркивает новую модель угроз в DeFi: терпеливые, изощренные противники, использующие человеческие и операционные уязвимости, а не ошибки кода.
Послание ясно: в 2026 году и далее платформам DeFi необходимо строить надежные организационные защиты, способные противостоять долгосрочным, целенаправленным злоумышленникам. Аудиты безопасности уже недостаточны — устойчивость теперь является настоящим мерилом доверия в децентрализованных финансах.
#GateSquareAprilPostingChallenge
#CreatorLeaderboard