#DriftProtocolHacked

Злом протоколу Drift: майстер-клас з соціальної інженерії у DeFi
У яскравому нагадуванні, що децентралізовані фінанси не застраховані від людських та організаційних вразливостей, Drift Protocol — найбільша децентралізована платформа для перпетуальних торгів на Solana — зазнав однієї з найскладніших атак у історії блокчейну. 1 квітня 2026 року за менше ніж дванадцять хвилин з протоколу було виведено $285 мільйонів не через помилки у смарт-контрактах або експлойти з використанням flash loans, а за допомогою ретельно спланованої операції соціальної інженерії.
Це був не типовий злом DeFi. Це була терпляча, ретельно спланована кампанія, яка почалася місяцями раніше, ілюструючи, як людські фактори та операційна безпека тепер можуть стати так само критичними, як і безпека коду у децентралізованих системах.
Розуміння Drift Protocol
Щоб оцінити масштаб атаки, важливо зрозуміти роль Drift у екосистемі Solana. Drift забезпечує децентралізовану торгівлю перпетуальними ф’ючерсами нативно на Solana. До вересня 2025 року протокол мав $1,5 мільярда у загальній заблокованій цінності (TVL), що відображає довіру тисяч трейдерів та інституційних учасників.
Навіть у квітні 2026 року TVL становив близько $550 мільйонів, з капіталом, внесеним широкою базою користувачів, включаючи професійних трейдерів. Інституційна інфраструктура Drift та поважна репутація зробили його пріоритетною ціллю, підкреслюючи, що зловмисники тепер зосереджуються на високопрофільних, добре капіталізованих платформах, а не на менших, менш захищених протоколах.
Хронологія атаки
1. Інфільтрація (Осінь 2025 – березень 2026)
Зловмисники спочатку видавали себе за легітимну компанію з кількісної торгівлі. Вони активно налагоджували контакти з учасниками Drift — відвідували конференції DeFi, спілкувалися через галузеві канали та налагоджували особисті стосунки з ключовими членами команди. Щоб закріпити довіру, вони внесли понад $1 мільйонів у Drift, зарекомендувавши себе як “реальні” учасники з інвестиціями.
2. Компрометація пристроїв
Після здобуття довіри зловмисники впровадили шкідливі репозиторії коду та фальшивий гаманець-додаток у пристрої учасників Drift. Це дало їм доступ до адміністративних облікових даних та приватного ключа, пов’язаного з мульти-сиг governance council, відповідальним за затвердження критичних адміністративних транзакцій.
3. Використання довгострокових Nonces
Технічна складність полягає у маніпуляції з функцією довгострокових nonce у Solana. За допомогою попереднього підписання серії адміністративних транзакцій з компрометованих ключів, вони обійшли обмеження на зняття та отримали повний доступ до сейфів протоколу. Протягом кількох тижнів вони керували approvals мульти-сиг, щоб підготувати сцену для точкового виведення коштів.
4. Виведення (1 квітня 2026, 16:00 UTC)
За менше ніж дванадцять хвилин зловмисники опустошили майже 20 сейфів, зокрема:
JLP токени (Jupiter Liquidity Provider): $155 мільйонів
USDC стабільні монети: $232 мільйонів
Обгортковий Bitcoin (wBTC) та Solana (SOL)
Різні токени для ліквідного стейкінгу
Вкрадені активи були конвертовані у стабількони та частково переведені на Ethereum, що ускладнює слід. Шкідливі репозиторії та гаманець-додатки були швидко видалені з пристроїв після виконання.
Перевірений вплив
Загальна сума викраденого: $285 мільйонів
TVL до атаки: $550 мільйонів
TVL після атаки: $247 мільйонів
Відсоток виведених коштів: >50%
Час виконання: <12 хвилин
Виведено сейфів: ~20
Фінансування тесту зловмисника: за 8 днів до
Рейтинг DeFi 2026: найбільший один злом року
Наслідки для токена Drift
Реакція ринку була миттєвою:
Ціна перед зломом: $0.073
Мінімальна ціна після злом: $0.040
Одноденне падіння: 47%
RSI: 17 (глибоко перепроданий)
MACD: негативний
Ефекти поширення
Атака спричинила ланцюгову реакцію у екосистемі Solana. Виведення капіталу вплинуло на кілька платформ:
Jito, Raydium, Sanctum: 3.8–4.3% TVL за один день
Ціна SOL: знизилася до близько $78, з $67 та $60 позначеними як ключові рівні підтримки
Видавець USDC (Circle): зазнав критики за затримки у реагуванні
Розслідування
Атака спонукала до швидкого залучення Mandiant, елітного підрозділу кібербезпеки Google. Вібу Норбі з Фонду Solana підтвердив, що злом не був вразливістю протоколу, а провалом операційної безпеки, підкреслюючи, що атаки соціальної інженерії тепер становлять екзистенційний ризик для платформ DeFi.
Уроки для DeFi
Злом Drift відкриває нову парадигму у управлінні ризиками DeFi:
Людський фактор: мульти-сиг управління може бути скомпрометований через соціальну інженерію.
Довгострокові Nonces: легітимні механізми блокчейну можуть бути використані як зброя.
Безпека учасників: особисті пристрої та гаманці — перша лінія ризику.
Протоколи, що керують понад $50 мільйонами користувацьких коштів, тепер змушені впроваджувати:
Модулі апаратної безпеки (HSM)
Автоматичне підписання з ізольованих систем
Формальні червоні команди соціальної інженерії
Акцент зміщується з технічних аудитів на організаційну стійкість.
Висновок
Злом протоколу Drift був ретельно спланований. Зловмисники витратили місяці на здобуття довіри, інвестували понад $1 мільйонів і здійснили грабіж за 12 хвилин на суму $285 мільйонів. Ця атака підкреслює нову модель загроз у DeFi: терплячі, високотехнологічні зловмисники, що експлуатують людські та операційні вразливості, а не помилки у коді.
Послання ясне: у 2026 році і надалі платформи DeFi мають будувати міцні організаційні оборони, здатні протистояти довгостроковим цілеспрямованим загрозам. Аудити безпеки вже недостатні — стійкість тепер є справжнім показником довіри у децентралізованих фінансах.
#GateSquareAprilPostingChallenge
#CreatorLeaderboard