Drift“День дурака” более 280 миллионов долларов украдены: взлом или внутреннее преступление?

Шоу, Golden Finance

2 апреля, на платформе деривативной торговли Drift Protocol произошёл инцидент безопасности; данные on-chain показывают потери свыше 285 млн долларов. Проектная команда заявила, что обнаружила аномальную активность и проводит расследование; пользователей просят пока не вносить средства в протокол и подчёркивают: «Это не шутка на День дурака».

Атака затронула несколько пулов средств, включая JLP Delta Neutral, SOL Super Staking и BTC Super Staking и т. п. В рамках одной операции было переведено около 41,7 млн токенов JLP на сумму примерно 155 млн долларов; кроме того, изъяты также активы вроде SOL, USDC, cbBTC и wBTC.

Согласно статистике, этот инцидент может стать одной из крупнейших DeFi-атак в экосистеме Solana после масштабного эксплойта Wormhole bridge.

I. Последние обновления по инциденту с атакой на Drift Protocol

По данным на 1 апреля 2026 года по восточному времени (ET), децентрализованный протокол деривативов Drift Protocol в экосистеме Solana подвергся крупной хакерской атаке: похищенные активы оцениваются примерно в 285 млн долларов. Ключевые похищенные активы: около 41,7 млн токенов JLP на сумму 155,6 млн долларов; а также различные активы, включая USDC, SOL, cbBTC, wBTC и т. п. Этот инцидент стал одной из крупнейших атак в истории Solana и крупнейших в DeFi по масштабу.

Официально Drift Protocol впоследствии опубликовал пост в социальной сети, подтвердив: «Drift Protocol подвергается атаке. Функции депозитов и снятия средств приостановлены. Мы работаем с несколькими компаниями по безопасности, кроссчейн-мостами и биржами, чтобы в полной мере взять ситуацию под контроль. Это не шутка на День дурака. Дополнительная информация будет опубликована в первую очередь через этот аккаунт».

Атака началась в ночь на 2 апреля. Платформа on-chain мониторинга PeckShield выпустила предупреждение: основной адрес хранилища Drift начал осуществлять массовые переводы на новый созданный кошелёк HkGz4K. В первых выводах основными были токены JLP (Jito Liquidity Provider) на сумму около 155 млн долларов, затем — USDC, SOL, cbBTC, wBTC, WETH и часть meme-монет. Данные PeckShield показывают, что за короткое время совокупный отток активов составил 285 млн долларов.

По мониторингу Yuyin, активы на 285 млн долларов, украденные у Drift, сейчас уже обменены на 129k ETH (278 млн долларов). За последние несколько часов хакер различными способами продал эти активы и вывел их к сети Ethereum, а затем на сети Ethereum выкупил ETH. Сейчас активы на 285 млн долларов, украденные на Solana, уже конвертированы в 129 066 ETH.

Кроме того, команда SlowMist в соцсетях заявила, что на данный момент похищенные средства в основном сосредоточены на следующих адресах Ethereum: 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674, 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7, 0xaa843ed65c1f061f111b5289169731351c5e57c1; всего: 105 969 ETH (около 226 млн долларов).

Кластер адресов хакера:

II. Разбор атаки на Drift Protocol: проектная команда «присвоила добычу»?

Эта атака — тщательно спланированная комбинация вторжения через права доступа + манипуляция ценами. Суть в том, что, получив администраторские права, хакер через поддельные токены и манипуляции оракулами мгновенно пробил лимиты на средства и разграбил казну протокола. Хакер, получив администраторский приватный ключ, отключил ключевые механизмы управления рисками протокола (лимиты на снятие), затем с использованием фиктивного обеспечения массово выводил средства из пула и завершил отмывание за счёт кроссчейн-переводов активов.

В ответ на инцидент с атакой на Drift Protocol, приведший к хищению активов, основатель SlowMist Юй Си опубликовал анализ; в нём отмечается, что за неделю до атаки Drift изменила мультиподпись на «2/5» (1 старый подписант + 4 новых подписанта) и не установила time lock (timelock). Затем атакующий получил администраторские права, подделал токены CVT, манипулировал оракулами, отключил механизмы безопасности и перевёл из пула высоколиквидные активы.

Сооснователь Chaos Labs Омер Голдберг также в соцсетях указал, что неделю назад Drift перешёл на новый мультиподписной кошелёк, который был создан одним из подписантов из прежней мультиподписи. При этом этот подписант не включил себя в новый список мультиподписи. Атакующий также инициировал предложение в старой мультиподписи — о передаче администраторских прав в этот новый кошелёк. Новая мультиподпись включает 5 подписантов: только 1 человек — из исходной команды, а остальные 4 — с совершенно новых адресов. Кошелёк настроен на порог 2/5 мультиподписи и не имеет никакого time lock (0 секунд задержки). В ночь на 2 апреля этот единственный подписант из исходной группы через новую мультиподпись инициировал предложение о смене прав администратора Drift. Один новый подписант подписал за одну секунду — порог 2/5 был мгновенно достигнут. Поскольку time lock отсутствовал, транзакция была выполнена сразу.

Кроме того, в сообществе ходит слух, что ключевой участник команды Drift ушёл в отставку месяц назад, но это не является официально подтверждённым фактом и не имеет доказательств; на данный момент это лишь предположение/слух, распространяемый в X (Twitter) сообществе, без конкретных имён, и ни основные СМИ, ни официальный Drift это не подтверждали. В материалах основных новостей и официальных заявлениях Drift вообще не упоминается, что какие-либо члены команды ушли месяц назад.

Тем не менее, вероятность «присвоения добычи изнутри» действительно является самым обсуждаемым и самым подозрительным направлением в текущем круге, даже более логичным, чем «внешнее вторжение хакеров». Ранее официально были изменены настройки мультиподписи — структура прав оказалась слишком «удобной для атаки», что больше похоже не на случайность. Способы атаки «слишком хорошо понимают внутреннюю логику» — совсем не похоже на стиль внешнего хакера; а реакция официальной стороны на хищение столь огромных сумм была необычно спокойной. После хищения направления движения средств были очень чистыми и ясными: средства быстро конвертировались в ETH и выполнялись кроссчейн-операции, при этом не было притока на централизованные биржи, которые легко замораживают активы. Это совокупность процесса событий и логики операций. Всё это усилило сомнения сообщества в отношении официальной стороны Drift — «присвоения добычи изнутри».

III. Стороны, связанные с инцидентом, и реакция криптосообщества

После того как произошёл инцидент с хищением активов Drift Protocol, разные заинтересованные стороны и криптосообщество отреагировали по-разному:

• В DeFi-протоколе Drift инцидент с хищением привёл к потере позиции JLP примерно на 155,6 млн долларов. В ответ официальный Jupiter заявил, что платформа не пострадала от этого инцидента; его кредитный продукт Jupiter Lend не связан с рынком Drift, а активы JLP «полностью поддерживаются базовыми активами». Также Jupiter отметил, что для экосистемы Solana DeFi это был «тяжёлый день» и выразил обеспокоенность команде Drift и затронутым пользователям.

• Протокол формирования дохода Unitas Protocol в твите заявил, что инцидент с атакой на Drift Protocol его не затронул. В Drift у Unitas нет никаких экспозиций. Все залоги безопасны, все стратегии (включая стратегию JLP Delta Neutral) работают нормально. Средства пользователей в безопасности. Залоговые активы можно в режиме реального времени проверять через панели доказательств резервов Accountable и Primus Labs.

• Solana-протокол ликвидности Meteora в твите сообщил, что все средства на Meteora безопасны, а все функции и казна платформы не взаимодействовали с протоколом Drift.

• Основатель инфраструктуры стейблкоинов Perena Анна в твите заявила, что Perena USD*, USD*-J и USD*-P не пострадали от атаки Drift. Однако из-за того, что JLP-казна, которой управляет Neutral Trade — платформa обмена/агрегации квант-стратегий в экосистеме Solana, работает на протоколе Drift, она оказалась затронута; команда поддерживает связь с партнёрами и продолжит обновлять ход работ.

• Пользователь X @hzkj99: протокол активов Drift Protocol в экосистеме SOL был взломан, потери — на уровне сотен миллионов; всякий раз, когда задействованы средства, безопасность — это первое, особенно в условиях bear market (медвежьего рынка), где абсолютно точно будут новые протоколы, которые окажутся украдены. Этот мир — гигантская импровизированная сцена/площадка (草台班子), некоторые протоколы даже могут быть украдены неоднократно, а Drift — вовсе не последний из украденных.

• Пользователь X @lanhubiji: Drift Protocol подвергся серьёзной эксплуатации уязвимостей, потери — порядка 270 млн долларов; это один из крупнейших инцидентов DeFi, атак в 2026 году на данный момент. В некоторых постах, совсем серьёзно, говорят: «Фонд Solana сейчас координирует откат с серверами в подвале Толли (сооснователя)». Это, конечно, шутка, но так говорить — уже перебор.

• Пользователь X @EnHeng456: в bear market действительно нужно хранить деньги максимально осторожно: сейчас обстановка становится всё менее безопасной, повсюду новости о кражах; некоторые старые протоколы тоже специально начинают ломаться в bear market. Тебе очень трудно отличить атаку хакера от «присвоения добычи изнутри». Я недавно тоже стал консервативнее: просто честно держу всё в USD1 и не рискую больше где попало. В такой ситуации чем больше суеты, тем легче всё пойдёт не так: иногда не трогать — лучший вариант. Drift украли 8B долларов — и эти деньги уже в кармане у «генерала».

IV. Влияние инцидента с украденными средствами Drift Protocol

Инцидент с хищением 285 млн долларов у Drift Protocol — это вторая по величине DeFi-атака в истории экосистемы Solana. Её последствия выходят далеко за рамки самого протокола: она серьёзно подрывает доверие к экосистеме Solana и ускоряет изменения в сфере безопасности DeFi.

Этот взлом показал фатальные недостатки DeFi-проектов в управлении правами мультиподписи и безопасности оракулов. «Права — это казна», и если администраторские ключи попадают в руки злоумышленников и отсутствуют механизмы экстренного торможения вроде time lock, любая сложная логика кода может мгновенно перестать работать. Для Drift Protocol кроме сценария возврата огромной суммы или появления «крупного покупателя», который подхватит активы, всё придёт к клирингу, банкротству и судебным разбирательствам. Для Solana и её экосистемы это означает серьёзный удар по репутации, краткосрочный отток средств и замедление роста, а в долгосрочной перспективе — жёсткое принуждение к обновлению безопасности. А для всего DeFi-рынка это можно назвать отраслевой «точкой раздела»: «безопасность прав важнее безопасности кода» становится железным правилом, стоимость доверия резко растёт, и DeFi перейдёт в новый этап — более соответствующий требованиям (compliance), более прозрачный и более централизованный (безопасное управление).