Взлом Drift стоимостью 280 миллионов долларов: недели установки, минуты на слив
Криптовалютная биржа Drift Protocol, базирующаяся в Солане, была взломана вчера примерно на 280 миллионов долларов в рамках недельной операции, в ходе которой, вероятно, использовалась социальная инженерия для компрометации одобрений нескольких подписантов с несколькими подписями.
1 апреля, в 19:00 по UTC+1, Drift объявил, что в протоколе наблюдается «необычная активность» и что пользователям следует избегать внесения средств. В нем подчеркивалось: «Это не первоапрельская шутка».
Это последовало из-за того, что пользователи X подняли тревогу о том, что Drift эксплуатируется и что эта атака будет существенной.
Затем Drift подтвердил, что он находится под продолжающейся атакой и что ему необходимо приостановить ввод и вывод средств. Исследователи начали предполагать, что приватные ключи Drift были скомпрометированы.
Протокол Drift подвергается активной атаке. Ввод и вывод средств приостановлены. Мы координируем свои действия с несколькими охранными фирмами, мостами и биржами, чтобы сдержать инцидент. Это не первоапрельская шутка. Мы будем предоставлять дополнительные обновления из этой учетной записи по мере… https://t.co/03SRPq4fHj.
– Дрифт (@DriftProtocol) 1 апреля 2026 г.
С тех пор Дрифт поделился подробным графиком того, что и как произошло.
В нем говорилось: «Это была очень сложная операция, которая, судя по всему, включала многонедельную подготовку и поэтапное выполнение, включая использование устойчивых одноразовых учетных записей для предварительного подписания транзакций, которые задерживали выполнение».
Он утверждает, что атака не была вызвана ошибкой в программах или смарт-контрактах Drift, не было никаких доказательств взлома исходных фраз и что атака включала несанкционированное одобрение транзакций перед выполнением взлома.
Однако компания признала, что этим одобрениям, вероятно, способствовала атака с помощью социальной инженерии против ее сотрудников и манипулирование «надежными механизмами nonce».
Что случилось с Дрифтом
Надежные механизмы nonce — это тип инструмента блокчейна, который может обходить подпись хеш-блока и облегчать подписание автономного перевода.
Drift утверждает, что 23 марта были созданы четыре устойчивых одноразовых учетных записи, две из которых были связаны с членами мультиподписи Совета безопасности Drift, а две — с учетными записями, контролируемыми злоумышленниками.
Ниже приведен график событий. 23 марта: Первоначальная настройка одноразового номера. Были созданы четыре устойчивых учетных записи одноразового номера: – Две связаны с членами мультиподписи Совета Безопасности Дрифта – Две связаны с учетными записями, контролируемыми злоумышленниками. Соответствующие учетные записи: a.…
– Дрифт (@DriftProtocol) 2 апреля 2026 г.
Затем, 27 марта, «Дрифт осуществил запланированную миграцию Совета Безопасности в связи со сменой члена совета».
Три дня спустя для участника обновленной мультиподписи была создана еще одна учетная запись с надежным одноразовым номером, что дало злоумышленникам «эффективный доступ к 2/5 подписантов в обновленной мультиподписи».
День казни
Drift утверждает, что 1 апреля осуществил пробный вывод средств из страхового фонда. Затем злоумышленник, получив доступ к разрешениям с мультиподписью, выполнил «злонамеренную передачу администратора в течение нескольких минут, получив контроль над разрешениями на уровне протокола».
Злоумышленники затем смогут «использовать этот контроль, чтобы внедрить вредоносный актив и удалить все заранее установленные лимиты на снятие средств, атакуя существующие средства».
Дрифт не поделился подробностями о том, как произошла вероятная атака с помощью социальной инженерии. Иногда они могут быть результатом того, что злоумышленник использует ложную личность, будь то посредством прямого сообщения, электронной почты или телефона, и обманом заставляет кого-то предоставить ему доступ к ключевым привилегиям.
Партнер Drift Circle не заморозил средства
Инцидент вызвал критику со стороны крипто-исследователя ZachXBT, который выразил недовольство фирмой стейблкоинов Circle и ее медленными попытками заморозить украденные средства.
Drift интегрировал протокол межцепной передачи (CTTP) Circle в 2023 году. ZachXBT отметил, что «Circle спал, в то время как многие миллионы долларов США были обменены через CCTP из Solana в Ethereum в течение нескольких часов после взлома 9-значного Drift в часы США».
«6 часов — это время, которое Circle пришлось заморозить, чтобы заморозить средства, украденные в результате взлома Drift на сумму более 280 миллионов долларов», — сказал он.
Другие пользователи не согласились с классификацией протокола как «децентрализованного» после того, как в атаке, по всей видимости, использовались централизованные механизмы.
Других пользователей раздражало то, что Drift требовалось только два из пяти одобрений multig для совершения транзакции.
вот и виноват мультиподпись 2/5 для 500M TVL без блокировки по времени - это безумие, вы могли бы подумать, что это мультиподпись 4/5, но нет, чувак, эти команды сумасшедшие, а потом они придумают высокотехнологичную загадку, чтобы объяснить, почему после того, как средства пользователей исчезли
– Тоби (@tobific) 2 апреля 2026 г.
Платформа сообщила, что работает вместе с охранными фирмами, правоохранительными органами, мостами и биржами, чтобы выяснить, что произошло, и заморозить украденные активы. Он добавил, что более подробный отчет поступит в ближайшие дни.
Технический директор Ledger уже предположил, что события взлома напоминают образ действий, аналогичный «взлому Bybit в прошлом году, который широко приписывают субъектам, связанным с КНДР».
Компания Protos обратилась к Drift за комментариями и обновит эту статью, если мы услышим что-нибудь в ответ.