285 мільйонів було виведено за 12 хвилин, не через помилку, а тому, що система більше довіряла людям, ніж слід було.

1 квітня 2026 року протокол Drift, найбільший перпетуальний DEX на Solana, був зламаний на суму $285М. Перед атакою протокол мав близько $550M загальної заблокованої цінності, і більше половини з цього було фактично знищено за кілька хвилин.

Важливо зазначити: нічого не було зламано на рівні коду. Не було помилки у смарт-контракті. Система працювала точно так, як задумано.

Зловмисники витратили приблизно шість місяців на здобуття доступу. Вони підходили до учасників наприкінці 2025 року, видаючи себе за легітимну торгову компанію, відвідували реальні конференції, проводили технічні дискусії і навіть розгортали понад $1M у екосистему, щоб виглядати переконливо. З часом вони здобули довіру і впровадили шкідливі інструменти через спільні репозиторії коду та фальшиві додатки. Це дозволило їм зламати пристрої учасників, підключених до управління.

Звідти вони зосередилися на рівні управління замість коду.

Drift використовував мульти-підпис 2 з 5 без таймлоків, що означає, що будь-які два підписанти могли миттєво схвалити адміністративні дії. Зловмисники використали це, змусивши підписантів попередньо схвалити транзакції за допомогою функції Solana, яка називається довговічними нонces, що дозволяє підписаній транзакції залишатися дійсною безстроково. Ці схвалення були зібрані за кілька тижнів до експлойти і не могли бути відкликані пізніше.

Одночасно з цим зловмисники створили фальшивий токен під назвою CVT. Вони випустили 750 мільйонів токенів, додали мінімальну ліквідність і використовували wash-трейдинг, щоб зробити його схожим на реальний $1 актив. Орacle-система протоколу прийняла ціну як валідну, оскільки не було суворих перевірок ліквідності або валідації.

Коли все було готово, виконання зайняло близько 12 хвилин.

Вони використали попередньо схвалені транзакції для взяття під контроль управління, додали фальшивий токен як заставу, маніпулювали його ціною через власний оракл і підвищили ліміти на зняття, фактично позбавивши системи ризикових обмежень. Потім вони внесли фальшиву заставу і позичили реальні активи під неї через кілька сейфів.

Загалом 31 транзакція вивела близько $285 мільйонів активів, включаючи USDC, ETH, токени на базі SOL та інші.

За кілька годин кошти були переміщені між ланцюгами. Зловмисники обміняли активи на USDC, перекинули через понад 100 транзакцій на Ethereum, конвертували їх у приблизно 129 000 ETH і розподілили кошти між кількома гаманцями.

Атака була пов’язана з групою Lazarus, яка за останні роки викрала понад $200M з криптоекосистем.

Це не була помилка технології блокчейн. Це була помилка у дизайні управління, людській довірі.

Це була комбінація:

• Довгострокової соціальної інженерії
• Попередньо схваленого доступу до управління
• Фальшивої застави, яка проходила системні перевірки
• Миттєвого виконання без запобіжних заходів затримки