#DriftProtocolHacked

#DriftProtocolHacked

Миллионный грабеж, который был выполнен за 10 секунд и спланирован за восемь дней

Токен DRIFT сейчас торгуется по цене $0.0407. За последние 24 часа цена упала на 27.88%. За последнюю неделю — на 40.35%. За последние 90 дней — на 75.57%. SOL стоит $81.38, демонстрируя скромный дневной рост в 2.37%, что мало что значит в контексте произошедшего 1 апреля 2026 года. Потому что в тот день протокол Drift — один из самых известных децентрализованных бирж деривативов на Solana, платформы с миллиардными объемами торгов и сотнями миллионов пользовательских депозитов — был обкраден на сумму от $285 до $270 миллионов за менее чем 10 секунд. Не путём brute-force атаки. Не из-за уязвимости в коде в традиционном понимании. А благодаря одному из самых тщательно спланированных взломов в истории DeFi: грабежу, начавшемуся за восемь дней до кражи, использовавшему легитимную функцию Solana так, как её создатели никогда не предполагали, и выполненному с военной точностью, по оценкам компании Elliptic, вероятно, группой северокорейских хакеров. Это полная история того, что произошло, как это работало, что это значит для Solana DeFi и что каждый участник on-chain протоколов должен понять, прежде чем вложить еще один доллар в смарт-контракт, который он полностью не понимает.

Атака охватила более 50% общего заблокированного объема Drift Protocol на момент взлома. Она занимает второе место по масштабам среди всех взломов в истории Solana. К моменту, когда команда Drift публично подтвердила взлом и приостановила депозиты и выводы, средства — токены JLP, USDC, обёрнутый Bitcoin и нативный SOL — уже были выведены из пяти отдельных сейфов. Украденные активы начали быстро перемещаться по нескольким кошелькам, почти сразу же, с переводом $285 миллионов USDC через межцепочечный протокол Circle, несмотря на публичные призывы заморозить средства. Остаток был маршрутизирован через Wormhole и Tornado Cash в цепочке отмывания, что отражало тот же уровень планирования и координации, что и сам взлом. Это было не случайное обнаружение уязвимости в 2 часа ночи. Это была операция с инфраструктурой, разведкой, подготовленными запасными кошельками и каналами отмывания, готовыми к выполнению в момент открытия сейфов.

Чтобы понять, как работала атака, нужно понять стойкие nonce — конкретную функцию Solana, которая сделала возможным весь взлом. В большинстве блокчейнов транзакция включает ссылку на недавний хеш блока, что означает, что транзакция истекает, если не будет подана своевременно, обычно в течение нескольких минут. Solana ввела стойкие nonce как удобную функцию для случаев, когда транзакция должна быть предварительно подписана и сохранена для последующей подачи — например, когда аппаратный кошелек офлайн или когда институциональные процессы требуют человеческого одобрения перед выполнением, а сама подача происходит позже. Транзакция с стойким nonce не истекает. После подписи она остается действительной бесконечно долго, ожидая своей подачи в любое будущее время. Это легитимная и полезная функция. Но, как показала эксплуатация Drift, в самом дорогом виде, она кардинально меняет модель безопасности любой системы мультиподписей, которая не учитывает её.

Вот что именно сделал злоумышленник, восстановлено по анализу CoinDesk и заявлениям самой Drift. Около 20 дней до атаки злоумышленник создал CVT — полностью бесполезный токен, который он сам создал, без рыночной стоимости, без утилиты и без интеграции с протоколами. Этот токен не был нигде зарегистрирован. Он существовал только как часть инфраструктуры атаки. За восемь дней до взлома злоумышленник настроил новую инфраструктуру — новые кошельки, новые цепочки транзакций — и начал подготовку набора транзакций с стойким nonce, которые после подписи соответствующими сторонами давали бы ему административный контроль над протоколом Drift. Гениальность подхода с стойким nonce в том, что злоумышленнику нужно было убедить только двух из пяти членов Security Council, чтобы подписать, казалось бы, рутинные административные транзакции. Эти подписанты рассматривали их как стандартные управленческие действия. Они подписали. Их подписи были действительными — легитимными, криптографически правильными одобрениями от уполномоченных членов совета безопасности. Но поскольку эти подписи были встроены в транзакции с стойким nonce, злоумышленник теперь обладал предварительно подписанными разрешениями, которые оставались действительными навсегда, ожидая использования в любой момент по его выбору, в совершенно другом контексте, чем тот, в котором подписи были получены.

За 25 секунд до вывода средств злоумышленник подал подготовленные транзакции с стойким nonce и получил полный административный контроль над протоколом. В тот же 25-секундный промежуток он использовал этот доступ, чтобы создать фиктивный рынок залога для CVT — бесполезного токена, созданного 20 дней назад — и отключил автоматический механизм защиты Drift, так называемый circuit breaker, специально предназначенный для предотвращения быстрого и крупного вывода активов. С отключенным circuit breaker и фальшивым рынком залога злоумышленник систематически опустошил пять сейфов за секунды. Вся фаза выполнения — от захвата контроля до опустошения сейфов — заняла примерно 10 секунд. Восемь дней подготовки. 10 секунд исполнения. $232 миллионов исчезли.

Форензическая важность, которую большинство отчетов скрывают, но которая заслуживает особого внимания, — это вопрос о том, как два члена Security Council подписали транзакции, которые они не понимали. Подробный разбор CoinDesk прямо говорит: открытый вопрос, на который потребуется ответ в предстоящем полном отчете Drift, — как два отдельных участника мультиподписей одобрили транзакции, не понимая, что именно они подписывают, и могли ли инструменты или интерфейсы выявить, что транзакции с стойким nonce требуют дополнительного анализа. Это — провал управления, лежащий в основе взлома. Код работал как задумано. Криптография была валидной. Атака удалась потому, что человеческие операторы — члены совета безопасности, доверенные для управления сотнями миллионов пользовательских средств — подписали документы, которые позже были использованы в совершенно другом контексте. Это социальная инженерия так же, как и техническая уязвимость, и исправить её гораздо сложнее, чем уязвимость в коде, потому что это требует изменения человеческого поведения, улучшения интерфейсов инструментов и построения институциональных процессов, которые могут отличить рутинные административные действия от использования транзакций с стойким nonce как оружия для отложенного исполнения.

Атрибуция атаки Северной Кореей, хотя и не подтверждена официально, добавляет слой геополитической серьезности, помещая этот инцидент в контекст хорошо задокументированной схемы. Elliptic оценил, что атака, скорее всего, связана с государственными хакерами Северной Кореи, что соответствует методологии, описанной SecurityWeek, — высокой точности, включающей подготовку инфраструктуры, многоэтапную разведку, подготовленные каналы отмывания и скорость выполнения, которая указывает на автоматизированные системы, а не ручную работу. Хакеры из Северной Кореи, по оценкам блокчейн-компаний, украли как минимум $285 миллиардов криптовалюты только в 2025 году, а украденные средства, как полагают, финансируют ядерную программу режима и обходят международные санкции. Если версия о причастности Северной Кореи подтвердится, сумма в $2 миллионов станет не только крупнейшим DeFi-хакером 2026 года, но и значительным вкладом в государственное финансирование, что имеет прямые последствия для международной безопасности. Эта перспектива — что пользователи крипто DeFi непреднамеренно финансируют развитие ядерной программы — является неприятной реальностью, с которой индустрия должна серьезнее работать, чем позволяет обычный дискурс о «уроках безопасности после взлома».

Последствия для рынка были немедленными и очевидными. Токен DRIFT достиг рекордно низких значений в дни после взлома, согласно данным Stocktwits. За 90 дней он потерял 75.57%, что отражает эффект сложного процента — токена, который уже находился под давлением из-за общего сокращения рынка, а взлом лишь усугубил репутационные потери. Влияние на экосистему Solana было реальным, но ограниченным — SOL снизился на 40.33% за 90 дней, что скорее связано с общим рыночным давлением, чем с конкретным крахом Drift. DeFi Development Corp., компания, котируемая на Nasdaq и имеющая стратегию по управлению казной Solana, быстро подтвердила, что у нее нет никакой экспозиции по взлому Drift Protocol, что говорит о том, что риск распространения инфекции в DeFi активно управляется на институциональном уровне. Тот факт, что публичная компания сочла необходимым сделать такое заявление в течение нескольких часов после взлома, говорит о том, насколько серьезно институциональная экосистема Solana воспринимает возможные последствия.

Влияние на модель безопасности DeFi выходит далеко за рамки Drift. Вектор с стойким nonce не уникален для Drift. Любой протокол на Solana, использующий мультиподписи без явных защитных мер против эксплуатации стойких nonce, потенциально уязвим к тому же типу атак. И более широкий урок — что безопасность мультиподписей зависит от понимания, инструментов и процессов, которыми управляют люди — применим ко всем блокчейн-экосистемам, а не только к Solana. Модели управления мультиподписями в Ethereum, валидаторские наборы Cosmos, структуры совета Polkadot — все они имеют одну и ту же фундаментальную зависимость от человеческих операторов, которые должны проверять и понимать, что они подписывают. Взлом Drift показал, что опытный злоумышленник с достаточным терпением может найти разрыв между тем, что разрешает подпись в момент её создания, и тем, что она позволяет сделать при подаче через недели в другом контексте. Закрытие этого разрыва требует не только технических решений, но и институциональных процессов, которые рассматривают каждую управленческую подпись как высокорискованное разрешение с долгосрочными последствиями — а не как рутинное одобрение для быстрого клика.

Для тех, кто держал средства в Drift Protocol, немедленная практическая реальность очень сурова. Протокол подтвердил взлом, приостановил операции и работает над восстановлением, если оно вообще возможно. История показывает, что восстановленные средства после DeFi-взломов — редки, частичны и медленны. Использование злоумышленником Tornado Cash и межцепочечных мостов для отмывания средств в течение минут после атаки демонстрирует преднамеренную стратегию усложнить отслеживание и возврат активов. Протокол Circle перевел $285 миллионов USDC несмотря на призывы заморозить — напоминание о том, что даже самая строгая инфраструктура стейбкоинов имеет ограничения, когда украденные средства движутся быстрее, чем система заморозки может среагировать.

$232 #Gate广场四月发帖挑战