Основанный на Солане протокол Drift Protocol подвергся крупнейшему на сегодняшний день эксплойту 2026 года, потеряв почти 300 миллионов долларов в результате «очень сложной операции», которая вызвала обеспокоенность по поводу растущей угрозы атак, нацеленных на человека, в криптопространстве.
Solana DEX потеряла $285 млн в День смеха
В среду протокол Drift протокола децентрализованной биржи (DEX) на базе Соланы стал жертвой эксплойта, в результате которого из его хранилищ были украдены сотни миллионов долларов. После того, как вчера днем в онлайн-сообщениях была отмечена необычная активность в сети, официальные каналы Drift подтвердили атаку, быстро приостановив депозиты и снятие средств.
Согласно сообщениям, атака длилась менее 20 минут и украла около 285 миллионов долларов США в нескольких активах, включая USDC, JPL, USDT, JUP, USDS, WBTC и WETH, почти из 20 хранилищ. На сегодняшний день это крупнейший крипто-эксплойт 2026 года и один из крупнейших взломов в отрасли, чуть больше взлома WazirX на 235 миллионов долларов.
Взлом уничтожил половину общей заблокированной стоимости проекта на базе Соланы (TVL), которая, согласно данным DeFiLlama, упала с примерно 550 миллионов долларов до 252 миллионов долларов. Токен протокола Drift, DRIFT, также упал, откатившись почти на 40% за последние 24 часа.
В течение нескольких часов злоумышленник обменял 270,9 миллиона долларов США на USDC, перевел их из Solana в Ethereum через CCTP TokenMessengerMinterV2 и приобрел 129 000 ETH, разделив их на несколько кошельков.
В сообщении в четверг Drift поделился подробностями инцидента, подтвердив, что «злоумышленник получил несанкционированный доступ к протоколу Drift посредством новой атаки с использованием устойчивых одноразовых номеров, что привело к быстрому захвату административных полномочий Drift в Совете Безопасности».
Устойчивые одноразовые номера Solana — это усовершенствованный механизм, который позволяет транзакциям обходить типичный короткий срок действия обычных транзакций. Это позволяет пользователям предварительно подписывать транзакции для будущего выполнения, автономную подпись или сложные рабочие процессы с несколькими подписями.
«Это была очень сложная операция, которая, судя по всему, включала многонедельную подготовку и поэтапное выполнение, включая использование устойчивых одноразовых учетных записей для предварительного подписания транзакций, которые задерживали выполнение», — продолжил он.
Злоумышленники нацелены на людей, а не на смарт-контракты
Базирующаяся в Солане компания DEX подчеркнула, что эксплойт не был результатом ошибки в программах или смарт-контрактах Drift, отметив, что они также не обнаружили никаких доказательств скомпрометированных фраз просмотра.
«Атака включала в себя несанкционированные или искаженные утверждения транзакций, полученные до их выполнения, что, вероятно, было осуществлено с помощью надежных механизмов nonce и сложной социальной инженерии», — подчеркнули в проекте.
Лили Лю, президент Фонда Соланы, рассказала об инциденте, заявив, что это удар по всей экосистеме Соланы. Лю отметил, что «смарт-контракты сохранились. Настоящей целью теперь являются люди: социальная инженерия и слабые места операционной безопасности больше, чем эксплойты кода».
Технический директор Ledger Шарль Гийме связал метод атаки Drift со взломом Bybit на сумму 1,4 миллиарда долларов, который был приписан северокорейским хакерским группам. По его словам, злоумышленники, вероятно, скомпрометировали несколько машин, принадлежащих подписывающим сторонам с мультиподписью, посредством длительного проникновения и ввели операторов в заблуждение, заставив их одобрить вредоносные транзакции.
Этот образ действий аналогичен прошлогоднему взлому Bybit, который широко приписывают субъектам, связанным с КНДР. Схема становится знакомой: терпеливый, изощренный компромисс на уровне цепочки поставок, нацеленный на человеческий и операционный уровень, а не на сами смарт-контракты.
Гийме подтвердил, что этот инцидент является «еще одним тревожным сигналом для отрасли», чтобы поднять планку безопасности. «В конечном счете, безопасность — это не только аудит кода. Речь идет о предоставлении операторам и пользователям нужной информации в нужное время, чтобы они могли принимать обоснованные решения относительно того, что они подписывают», — заключил он.
