1 квітня 2026 року біржа безстрокових ф'ючерсів на базі Solana втратила 286 мільйонів доларів за 12 хвилин після того, як зловмисники протягом трьох тижнів непомітно створювали підроблені застави та застосовували соціальну інженерію щодо підписантів протоколу. Цей інцидент став найгарячішою темою для обговорення у криптоспільноті протягом останніх кількох днів.
Злом протоколу Drift у 2026 році: що сталося, хто втратив гроші та що буде далі
АВТОР
ПОДІЛИТИСЯ
Група Lazarus з КНДР підозрюється у крадіжці 286 мільйонів доларів з Drift Protocol на Solana
Drift Protocol, найбільша децентралізована біржа безстрокових ф'ючерсів у мережі Solana, підтвердила злом після того, як за один ранок її загальна заблокована вартість (TVL) впала з приблизно 550 мільйонів доларів до менше ніж 250 мільйонів доларів, а зараз становить 232 мільйони доларів. Bitcoin.com News першим повідомив про цю проблему. У наступні години токен DRIFT впав на 37–42%, досягнувши мінімуму в діапазоні від 0,04 до 0,05 долара.
У звітах зазначається, що атака почалася не з помилки в коді, а з виведення коштів через Tornado Cash. 11 березня зловмисник вивів ETH з протоколу конфіденційності на базі Ethereum і використав ці кошти для розгортання токена carbonvote, або CVT, 12 березня. Аналітики блокчейну відзначили, що час розгортання збігався приблизно з 09:00 за часом Пхеньяну, що одразу викликало підозри.
У кількох звітах детально описано, що протягом наступних трьох тижнів зловмисник забезпечив мінімальну ліквідність для CVT на децентралізованій біржі Raydium і використовував фіктивні торги, щоб підтримувати ціну на рівні близько 1,00 долара. Оракули Drift сприйняли цю ціну як легітимну. Зловмисник створив фальшиве забезпечення, яке виглядало справжнім для кожної автоматизованої системи, що його відстежувала.
«Сьогодні вранці зловмисник отримав несанкціонований доступ до протоколу Drift за допомогою нової атаки з використанням стійких нонсів, що призвело до швидкого захоплення адміністративних повноважень Ради безпеки Drift», — написала команда Drift.
Акаунт проекту в X додав:
«Це була надзвичайно складна операція, яка, судячи з усього, вимагала кількатижневої підготовки та поетапного виконання, включаючи використання облікових записів із стійкими нонсами для попереднього підписання транзакцій, що затримувало їх виконання».
Як видається, у період з 23 по 30 березня зловмисник Drift перейшов на людський рівень. Використовуючи легітимну функцію Solana під назвою «довговічні нонси», зловмисник, як повідомляється, спонукав членів мультипідпису Ради безпеки Drift попередньо підписати транзакції, що виглядали рутинними. Ці підписи стали попередньо затвердженими ключами доступу, які зберігалися в резерві, доки зловмисник не був готовий.
Лазівка закрилася 27 березня, коли Drift перевів свою Раду безпеки на поріг підпису «2 з 5» і повністю скасував таймлок. Таймлок зазвичай змушує затримувати адміністративні дії на 24–72 години, даючи спільноті час виявити та скасувати будь-що підозріле. Без нього зловмисник мав повноваження на виконання без затримки. Попередньо підписані транзакції запрацювали в той самий момент, коли таймлок зник.
1 квітня зловмисник активував ці транзакції, вказав CVT як дійсне забезпечення, підвищив ліміти на зняття коштів і вніс сотні мільйонів токенів CVT, під які механізм оцінки ризиків Drift випустив реальні активи. Протокол передав мільйони токенів JLP, мільйони USDC, мільйони SOL та менші суми обгорнутих біткойнів та ефіріумів. Тридцять одна транзакція зняття коштів була оброблена приблизно за 12 хвилин.
Зловмисник конвертував вкрадені токени в USDC за допомогою Jupiter, перевів їх на Ethereum і обміняв на десятки тисяч ETH. Частина коштів була переведена через Hyperliquid, а частина — безпосередньо на Binance. 3 квітня Drift надіслав ончейн-повідомлення з адреси Ethereum на чотири гаманці, контрольовані хакером. Видання cryptonomist.ch повідомляє, що в повідомленні було написано:
«Ми готові до переговорів».
Компанії з безпеки Elliptic і TRM Labs пов'язали цю атаку з зловмисниками, пов'язаними з КНДР, посилаючись на походження з Tornado Cash, підпис розгортання за часом Пхеньяну, фокус на соціальному інжинірингу та швидкість відмивання коштів після злому. Група Lazarus використовувала той самий підхід, що базується на терпінні та націленості на людей, під час злому мосту Ronin у 2022 році. Уряд США пов'язав ці крадіжки з фінансуванням збройової програми Північної Кореї, а Elliptic відстежила понад 300 мільйонів доларів, викрадених лише у першому кварталі 2026 року.
Зараження поширилося на понад 20 протоколів. Prime Numbers Fi повідомила про збитки у мільйони. Carrot Protocol призупинила функції випуску та викупу після того, як було уражено 50% її TVL. Pyra Protocol повністю вимкнула виведення коштів, залишивши всі кошти користувачів недоступними. Piggybank втратила 106 000 доларів і відшкодувала користувачам кошти з власної казни команди.
DeFi Development Corp., компанія, що котирується на Nasdaq і має стратегію казни на Solana, 1 квітня підтвердила, що не мала експозиції до Drift. Її система управління ризиками повністю виключала цей протокол. Цей факт привернув більше уваги, ніж, ймовірно, мала намір компанія.
В результаті зловживання в протоколі Drift Protocol з SOL викрадено понад 200 млн доларів: чи це найбільший злом у сфері DeFi за 2026 рік?
Як повідомляється, 1 квітня 2026 року протокол Drift на блокчейні Solana втратив понад 200 млн доларів у результаті ймовірної хакерської атаки. Вартість власного токена проекту суттєво впала. read more.
Читати
В результаті зловживання в протоколі Drift Protocol з SOL викрадено понад 200 млн доларів: чи це найбільший злом у сфері DeFi за 2026 рік?
Як повідомляється, 1 квітня 2026 року протокол Drift на блокчейні Solana втратив понад 200 млн доларів у результаті ймовірної хакерської атаки. Вартість власного токена проекту суттєво впала. read more.
ЧитатиВ результаті зловживання в протоколі Drift Protocol з SOL викрадено понад 200 млн доларів: чи це найбільший злом у сфері DeFi за 2026 рік?
ЧитатиЯк повідомляється, 1 квітня 2026 року протокол Drift на блокчейні Solana втратив понад 200 млн доларів у результаті ймовірної хакерської атаки. Вартість власного токена проекту суттєво впала. read more.
Інцидент з Drift дав один чіткий урок, який більшість представників галузі вже знала, але не застосовувала повною мірою: таймлок не є опціональним. Вилучення цього єдиного запобіжного заходу 27 березня перетворило складну, багатотижневу атаку на 12-хвилинне виведення коштів. Управління протоколом без механізму затримки — це управління з відкритими дверима.
Наступні 48 годин після атаки на DeFi були описані як критичні для здатності Drift зберегти довіру користувачів і намітити шлях до відновлення. Станом на 3 квітня не було оголошено жодного комплексного плану відшкодування.
FAQ 🔎
- Що сталося з Drift Protocol? 1 квітня 2026 року зловмисники вивели 286 мільйонів доларів з Drift Protocol, використовуючи підроблені застави та заздалегідь підписані адміністративні транзакції, щоб спустошити основні сховища протоколу за 12 хвилин.
- Хто несе відповідальність за злом Drift Protocol? Компанії з безпеки, зокрема Elliptic та TRM Labs, пов’язали цю атаку з зловмисниками, пов’язаними з КНДР, посилаючись на схеми відмивання коштів та часові мітки в ланцюжку блоків, що відповідають методам роботи Lazarus Group.
- Чи безпечні мої гроші в Drift Protocol? Після атаки Drift призупинив усі депозити та зняття коштів; станом на 3 квітня 2026 року користувачі таких протоколів, як Pyra та Carrot, що зазнали впливу, як і раніше не мають доступу до своїх коштів.
- Що таке атака з використанням стійкого нонса в Solana DeFi? Атака з використанням стійкого нонса використовує легітимну функцію Solana для попереднього підписання транзакцій, що виглядають як звичайні, зберігаючи їх як активні ключі авторизації, доки зловмисник не вирішить їх виконати.
