1 апреля 2026 года криптовалютная биржа Drift Protocol потеряла около $280 млн. Это один из крупнейших инцидентов в истории децентрализованных финансов. При этом код биржи не был взломан — злоумышленник действовал иначе: он захватил права администратора и использовал их против самого протокола.
Что такое Drift Protocol и как он устроен
Drift — это децентрализованная торговая платформа на блокчейне Solana. Пользователи вносят туда средства, чтобы торговать, занимать и давать в долг криптовалюту. Всеми ключевыми настройками платформы управляет специальная группа — Security Council. Это что-то вроде совета директоров: они могут менять правила работы биржи, добавлять новые активы, устанавливать лимиты на вывод средств.
Чтобы принять важное решение, нужно собрать несколько подписей от участников совета — это называется мультиподписью. В данном случае порог был всего 2 из 5: достаточно двух согласий, чтобы изменение вступило в силу немедленно.
Как это произошло
Злоумышленник заранее подготовил транзакции — инструкции для блокчейна — и получил на них необходимые подписи. Судя по заявлению самого Drift, подписи были получены либо обманным путём, либо под ложным описанием того, что именно подписывается. Речь идёт о социальной инженерии: людей убедили подписать то, что они не должны были подписывать.
В обычной ситуации подписанная транзакция имеет срок жизни — она привязана к текущему состоянию блокчейна и через несколько секунд устаревает. Но злоумышленник использовал механизм durable nonce — специальный инструмент в Solana, который позволяет подписать транзакцию заранее и отправить её в любой удобный момент, даже спустя часы или дни. Именно это дало ему время на подготовку.
Когда всё было готово, он запустил транзакции и за несколько минут перехватил контроль над Security Council. После этого:
1️⃣ Добавил в протокол фиктивный актив — токен без реальной стоимости.
2️⃣ Убрал защитные лимиты на вывод средств, которые ограничивали, сколько можно вывести за раз.
3️⃣ Внёс этот фиктивный актив как обеспечение — то есть как залог — и под него вывел настоящие деньги пользователей.
Порог мультиподписи 2 из 5 без какой-либо временной задержки означал, что у команды протокола не было времени заметить подозрительную активность и заблокировать атаку до её завершения.
Что пострадало
Drift подтвердил: пострадали средства в трёх категориях:
- депозиты пользователей, внесённые для торговли
- средства в хранилищах (vault)
- займы в системе кредитования (borrow/lend)
После обнаружения атаки протокол заморозил оставшиеся функции и обновил состав мультиподписи, исключив скомпрометированный кошелёк.
Детали расследования: движение средств
Сразу после вывода средства были собраны на Solana-адресе HkGz4KmoZ7Zmk7HN6ndJ31UJ1qZ2qgwQxgVqQwovpZES.
Затем около 129 тыс. ETH (~$270.9 млн) были переброшены из Solana в сеть Ethereum. Для переноса использовался протокол Circle CCTP через TokenMessengerMinterV2 — официальный мост для перевода стейблкоинов между блокчейнами.
В сети Ethereum похищенные активы сосредоточены на четырёх адресах:
- 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7
- 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674
- 0xaa843ed65c1f061f111b5289169731351c5e57c1
- 0xbddae987fee930910fcc5aa403d5688fb440561b
На момент расследования средства остаются на этих адресах без движения.
Заключение
Атака на Drift — редкий пример того, как можно похитить $280 млн, не находя уязвимостей в коде. Злоумышленник действовал через людей и процессы, а не через программные ошибки.
Два ключевых фактора, которые сделали это возможным: низкий порог мультиподписи без временной задержки на исполнение и механизм durable nonce, позволивший заранее подготовить атаку и запустить её в нужный момент.
Команда КоинКит продолжает мониторинг адресов, связанных с инцидентом.
