1 апреля 2026 года биржа бессрочных фьючерсов на Solana потеряла 286 миллионов долларов за 12 минут после того, как злоумышленники в течение трёх недель незаметно создавали поддельное обеспечение и манипулировали подписантами протокола с помощью социальной инженерии. Этот инцидент стал самой обсуждаемой темой в криптосообществе за последние несколько дней.
Взлом протокола Drift в 2026 году: что произошло, кто потерял деньги и что будет дальше
АВТОР
ПОДЕЛИТЬСЯ
Группа Lazarus из КНДР подозревается в краже 286 миллионов долларов из протокола Drift на Solana
Drift Protocol, крупнейшая децентрализованная биржа бессрочных фьючерсов в сети Solana, подтвердила взлом после того, как за одно утро ее общая заблокированная стоимость (TVL) рухнула с примерно 550 миллионов долларов до менее 250 миллионов долларов, а сейчас составляет 232 миллиона долларов. Bitcoin.com News первым сообщил об этом инциденте. В последующие часы токен DRIFT упал на 37–42%, достигнув минимума в диапазоне от 0,04 до 0,05 доллара.
В отчетах отмечается, что атака началась не с ошибки в коде, а с вывода средств из Tornado Cash. 11 марта злоумышленник вывел ETH из протокола конфиденциальности на базе Ethereum и использовал эти средства для развертывания токена carbonvote (CVT) 12 марта. Аналитики блокчейна отметили, что временная метка развертывания соответствовала примерно 09:00 по времени Пхеньяна, и эта деталь сразу вызвала подозрения.
В нескольких отчетах подробно описывается, что в течение следующих трех недель злоумышленник обеспечил минимальную ликвидность для CVT на децентрализованной бирже Raydium и использовал фиктивные сделки для поддержания цены на уровне около 1,00 доллара. Оракулы Drift распознали эту цену как легитимную. Злоумышленник создал поддельное обеспечение, которое выглядело реальным для всех автоматизированных систем, отслеживающих его.
«Сегодня утром злоумышленник получил несанкционированный доступ к протоколу Drift посредством новой атаки с использованием долговечных нонсов, что привело к быстрому захвату административных полномочий Совета безопасности Drift», — написала команда Drift.
В аккаунте проекта в X добавили:
«Это была очень сложная операция, которая, по всей видимости, потребовала нескольких недель подготовки и поэтапного выполнения, включая использование учетных записей с постоянными нонцами для предварительного подписания транзакций, что задержало их выполнение».
По всей видимости, в период с 23 по 30 марта злоумышленник, атаковавший Drift, перешел к человеческому уровню. Используя легитимную функцию Solana под названием «устойчивые нонсы», злоумышленник, как сообщается, побудил членов мультиподписи Совета безопасности Drift предварительно подписать транзакции, которые выглядели рутинными. Эти подписи стали заранее одобренными ключами доступа, которые хранились в резерве до тех пор, пока злоумышленник не был готов.
Эта лазейка закрылась 27 марта, когда Drift перевел свой Совет безопасности на порог подписи «2 из 5» и полностью удалил таймлок. Таймлок обычно налагает задержку от 24 до 72 часов на административные действия, давая сообществу время обнаружить и отменить что-либо подозрительное. Без него у злоумышленника были полномочия на исполнение без задержки. Предварительно подписанные транзакции вступили в силу в тот момент, когда таймлок исчез.
1 апреля злоумышленник активировал эти транзакции, указал CVT в качестве допустимого залога, повысил лимиты на вывод средств и внес сотни миллионов токенов CVT, под которые механизм оценки рисков Drift выдал реальные активы. Протокол передал миллионы токенов JLP, миллионы USDC, миллионы SOL, а также меньшие суммы в обёрнутых биткойнах и эфириуме. Тридцать одна транзакция на вывод средств была обработана примерно за 12 минут.
Злоумышленник конвертировал похищенные токены в USDC с помощью Jupiter, перевел их на Ethereum и обменял на десятки тысяч ETH. Часть средств была направлена через Hyperliquid, а часть переведена напрямую на Binance. 3 апреля Drift отправил сообщение в цепочке блоков с адреса Ethereum на четыре кошелька, контролируемых хакером. Издание cryptonomist.ch сообщает, что в сообщении было написано:
«Мы готовы поговорить».
Компании по обеспечению безопасности Elliptic и TRM Labs приписали эту атаку злоумышленникам, связанным с КНДР, сославшись на происхождение из Tornado Cash, подпись развертывания по времени Пхеньяна, акцент на социальной инженерии и скорость отмывания средств после взлома. Группа Lazarus использовала тот же подход, основанный на терпении и нацеленности на людей, при взломе моста Ronin в 2022 году. Правительство США связало эти кражи с финансированием оружейной программы Северной Кореи, а Elliptic отследила более 300 миллионов долларов, похищенных только в первом квартале 2026 года.
Заражение распространилось на более чем 20 протоколов. Prime Numbers Fi сообщила об убытках в миллионы долларов. Carrot Protocol приостановила функции чеканки и выкупа после того, как пострадало 50% ее TVL. Pyra Protocol полностью отключила вывод средств, оставив все средства пользователей недоступными. Piggybank потеряла 106 000 долларов и возместила убытки пользователям из собственной казны команды.
DeFi Development Corp., компания, котирующаяся на Nasdaq и использующая стратегию казны Solana, 1 апреля подтвердила, что у нее не было рисков, связанных с Drift. Ее система управления рисками полностью исключала этот протокол. Этот факт привлек больше внимания, чем, вероятно, предполагала компания.
В результате уязвимости протокола Drift Protocol с SOL было похищено более 200 млн долларов: крупнейший взлом в сфере DeFi в 2026 году?
Сообщается, что 1 апреля 2026 года протокол Drift на блокчейне Solana потерял более 200 млн долларов в результате предполагаемого взлома. Стоимость собственного токена проекта значительно упала. read more.
Читать
В результате уязвимости протокола Drift Protocol с SOL было похищено более 200 млн долларов: крупнейший взлом в сфере DeFi в 2026 году?
Сообщается, что 1 апреля 2026 года протокол Drift на блокчейне Solana потерял более 200 млн долларов в результате предполагаемого взлома. Стоимость собственного токена проекта значительно упала. read more.
ЧитатьВ результате уязвимости протокола Drift Protocol с SOL было похищено более 200 млн долларов: крупнейший взлом в сфере DeFi в 2026 году?
ЧитатьСообщается, что 1 апреля 2026 года протокол Drift на блокчейне Solana потерял более 200 млн долларов в результате предполагаемого взлома. Стоимость собственного токена проекта значительно упала. read more.
Инцидент с Drift дал один четкий урок, который большинство представителей отрасли уже знали, но не применяли в полной мере: таймлок не является опцией. Удаление этой единственной меры защиты 27 марта превратило сложную, многонедельную атаку в 12-минутный обвод средств. Управление протоколом без механизма задержки — это управление с открытой дверью.
Следующие 48 часов после атаки на DeFi были названы критическими для способности Drift сохранить доверие пользователей и наметить путь к восстановлению. По состоянию на 3 апреля не было объявлено ни одного комплексного плана возмещения убытков.
Часто задаваемые вопросы 🔎
- Что случилось с протоколом Drift? 1 апреля 2026 года злоумышленники похитили 286 миллионов долларов из протокола Drift, используя поддельное обеспечение и заранее подписанные административные транзакции, чтобы опустошить основные хранилища протокола за 12 минут.
- Кто несет ответственность за взлом Drift Protocol? Компании по обеспечению безопасности, в том числе Elliptic и TRM Labs, приписали эту атаку злоумышленникам, связанным с КНДР, сославшись на схемы отмывания средств и временные метки в цепочке блоков, характерные для методов работы Lazarus Group.
- Безопасны ли мои деньги в Drift Protocol? После атаки Drift приостановил все депозиты и выводы средств; по состоянию на 3 апреля 2026 года пользователи затронутых протоколов, таких как Pyra и Carrot, по-прежнему не могут получить доступ к своим средствам.
- Что такое атака с использованием устойчивого нонса в Solana DeFi? Атака с использованием устойчивого нонса использует легитимную функцию Solana для предварительного подписания транзакций, которые выглядят рутинными, сохраняя их в качестве действующих ключей авторизации до тех пор, пока злоумышленник не решит их выполнить.
