Протокол Drift зазнав хакерської атаки, збитки становлять 285 млн доларів США

1 квітня 2026 року децентралізована біржа безстрокових контрактів Drift Protocol у екосистемі Solana зазнала хакерської атаки; сумарно було викрадено активів приблизно на 2,85 млрд доларів США. Зловмисник отримав права адміністратора для мультипідписного гаманця протоколу, і за одну годину повністю вивів кошти з кількох пулів, включно з USDC, SOL, cbBTC, WETH та іншими активами, після чого кросчейн-переказав їх до мережі Ethereum, де обміняв приблизно на 129 тис. ETH (вартістю близько 278 млн доларів США). Станом на 2 квітня 2026 року викрадені кошти вже були розосереджені й зберігаються на 4 адресах в Ethereum; загальна заблокована вартість (TVL) впала з 550 млн доларів США до приблизно 255 млн доларів США. Подія стала найбільшою за розміром одноразовою безпековою подією втрат у сфері DeFi у 2026 році.

Хронологія атаки та технічний шлях

Атака не була раптовою — вона пройшла через підготовчий період приблизно вісім днів. Дані з ланцюга показують, що адреса гаманця зловмисників HkGz4K… була створена 24 березня 2026 року; вона отримала початкові кошти через кросчейн-систему NEAR Intents, а потім надіслала до Drift Vault невелику тестову транзакцію (приблизно 2,52 долара США), щоб перевірити права контролю контракту. Вікно атаки офіційно відкрилося 1 квітня о 16:00 UTC:

• Перша транзакція вивела з Drift treasury приблизно 41,7 млн токенів JLP (вартістю близько 155,6 млн доларів США).
• Подальші приблизно 11 узгоджених транзакцій протягом 60 хвилин одна за одною вилучили активи на кшталт USDC, SOL, cbBTC, wBTC, WETH та інші; сукупна сума становила 285 млн доларів США.

Щодо технічного шляху: зловмисник не скористався вразливістю у коді смарт-контракту, а натомість, отримавши права адміністратора в мультипідписному гаманці, послідовно виконав такі дії: карбування фейкових токенів CVT → маніпуляція ціною оракулів → відключення модулів безпеки → вилучення активів високої вартості.

Ключова вразливість: механізм мультипідпису та відсутність таймлока

Безпосередня причина цієї атаки — недолік безпеки у налаштуваннях мультипідписного керування протоколу Drift. Звіт про розбір інциденту від безпекової організації SlowMist вказує, що приблизно за тиждень до атаки Drift змінив мультипідписний механізм на режим «2/5» (1 старий підписант плюс 4 нові підписанти) і не налаштував жодного таймлока (Timelock).

Таймлок — це примусовий механізм затримки: він вимагає, щоб після внесення змін до конфігурації з високими правами минув період очікування 24–48 годин, перш ніж зміни набудуть чинності. Це дає спільноті та служби безпеки «буферне» вікно для виявлення аномалій. Відсутність таймлока означає, що щойно вкрадуть приватні ключі нових підписантів або ними буде здійснено зловмисне керування, зловмисник може одразу виконати дії адміністративного рівня. Зловмисник використав єдиного первинного підписанта в старому мультипідписі та іншу нову підписантську адресу для координації підписів, щоб перенести права адміністратора на адресу, яку він контролює, тим самим обійшовши всі захисти на рівні звичайних користувачів.

Логіка відмивання коштів через кросчейн-переказ і конвертацію в ETH

Після успіху атаки зловмисник запустив процес розпорядження коштами:

1. Кросчейн-переказ: використовуючи кросчейн-протоколи на кшталт Wormhole, він переніс багаторозрядні активи в мережі Solana до мережі Ethereum.
2. Уніфікований обмін: на децентралізованих біржах в Ethereum він конвертував усі активи, включно з USDC, SOL, wBTC, у ETH.
3. Розосередження адрес: приблизно 129 тис. ETH (вартістю близько 278 млн доларів США) було розосереджено для зберігання на 4 адресах в Ethereum.

Логіка вибору ETH як кінцевого активу включає: у мережі Ethereum найвища ліквідність, що полегшує швидку конвертацію у готівку; уніфікація мультивалютних викрадених коштів в один єдиний актив може перервати ланцюжок онлайнового відстеження їхнього початкового походження; розосередження адрес знижує ризик заморожування всіх коштів з однієї адреси. Частину USDC на мережі Ethereum було заморожено емітентом Circle, але її частка в загальній сумі викраденого була вкрай низькою.

Вплив на TVL протоколу Drift і на екосистему Solana

Безпосередній фінансовий удар по протоколу Drift відображається в даних TVL. За статистикою DeFiLlama:

Часова позначка (UTC)

TVL (у доларах США)

1 квітня 00:00

близько 550 млн

1 квітня 22:41

близько 255 млн

Падіння TVL вдвічі означає скорочення розміру пулів ліквідності, що призведе до зростання торговельного слайпеджу, зниження ефективності використання коштів і, як наслідок, до стиснення обсягу торгів протоколу та доходів від комісій. З більш макроскопічної перспективи екосистеми Solana ця подія є найбільшою за масштабом DeFi-безпековою подією в цій екосистемі після атаки на міст Wormhole у 2022 році (на 326 млн доларів США). У період із січня по березень 2026 року 15 DeFi-протоколів сумарно втратили близько 137 млн доларів США, тоді як збитки від одноразової події Drift становлять приблизно удвічі більше цієї суми та значно перевищують попередній рекорд максимальної одноразової втрати — 27,3 млн доларів США.

Роль втручання емітента стейблкоїнів та «сірі зони» регулювання

Швидка реакція емітента стейблкоїнів Circle стала темою обговорень у галузі. Після атаки частину USDC в мережі Ethereum було заморожено Circle, однак значна частина USDC, перенесених через кросчейн-мости, не була вчасно перехоплена, бо вони не проходили через прямі адреси кастодіального контролю Circle. Блокчейн-детектив ZachXBT піддав це критиці, вважаючи, що Circle має затримку у механізмах заморожування кросчейн USDC.

Ця суперечка оголює «сіру зону» в безпеці DeFi-інцидентів із точки зору регулювання: для емітента стейблкоїнів в кросчейн-середовищі бракує чіткого правового каркасу та галузевої згоди щодо обов’язків щодо проактивного втручання у разі ризиків. Наразі такі емітенти, як Circle, можуть заморожувати лише USDC, які контролюються кастодіальними адресами, безпосередньо керованими Circle в їхньому рідному ланцюзі (Ethereum). Для «містових USDC» (bridge USDC), згенерованих через сторонні кросчейн-мости на кшталт Wormhole, або для обгорнутих активів після кросчейну, у емітента немає безпосередніх прав на заморожування. Цей кейс може спонукати регуляторів висунути більш конкретні вимоги до обов’язків емітентів стейблкоїнів щодо реагування на ризики.

Висновок

Ключова структурна суперечність події з атакою на Drift полягає в тому, що: на рівні користувача DeFi-протокол позиціонує себе як некастодіальний і без вимоги довіри, але на рівні керування часто зберігає надто централізовані права адміністратора (зазвичай це називають «ключем бога»). Після того як зловмисник отримав права адміністратора, він зміг за одну-єдину транзакцію виконати три операції підвищеного ризику: створення фейкового ринку, маніпуляцію ціною оракулів та зняття обмежень на зняття коштів. Це демонструє, що в протоколі бракує багаторівневих механізмів перевірки, порогів затримки операцій і умов для миттєвого спрацювання системи протидії ризикам.

Варто зазначити, що протокол Drift у своїй версії v1 у 2022 році вже втрачав 14,5 млн доларів США через подібну проблему з адміністративними правами. Команда згодом здійснила повне відшкодування та опублікувала технічний розбір інциденту. Через чотири роки той самий патерн ураження з’явився знову, але вже в більшому масштабі, що свідчить: навіть після розборів і ітерацій, ризик централізації повноважень у базовій безпековій архітектурі досі не було вирішено радикально.

FAQ

П: Чи є можливість повернути вкрадені 285 млн доларів США в Drift Protocol?

Станом на 2 квітня 2026 року вкрадені кошти було перенесено через кросчейн до мережі Ethereum, конвертовано в ETH і розосереджено на 4 адресах. Загальний рівень повернення коштів у безпекових інцидентах DeFi за 2026 рік становить менше 7% (із 137 млн доларів США повернули лише 9 млн доларів США). Оскільки зловмисники застосували зрілу схему розосередження по кількох адресах і кросчейн-«відмивання», технічна можливість повернення є вкрай низькою.

П: Чи вплинула ця атака на безпеку інших DeFi-протоколів у екосистемі Solana?

Ця атака сталася через специфічну вразливість самого протоколу Drift у конфігурації мультипідпису та механізмі таймлока, а не через системний недолік базового блокчейну Solana чи типових стандартів смарт-контрактів. Однак інцидент суттєво посилить увагу до перевірок з боку аудиторських організацій і користувачів щодо налаштувань прав керування в інших DeFi-протоколах екосистеми Solana; також це може спричинити короткострокову перерозподіл TVL між протоколами.

П: Як розробникам протоколу запобігти подібним атакам з використанням адмінправ?

Галузеві стандарти безпеки рекомендують три ключові заходи: по-перше, встановити таймлок щонайменше 24 години для всіх змін конфігурацій із високими правами та додати автоматизовані моніторингові сповіщення; по-друге, застосовувати мультипідписну схему щонайменше 4/7 або вищого порогу, а приватні ключі підписантів мають зберігатися в апаратних модулях безпеки (HSM) та бути фізично ізольованими; по-третє, розгорнути онлайновий модуль ризик-контролю на ланцюжку: коли окрема транзакція передбачає дії адміністратора й сума перевищує заданий поріг, модуль автоматично запускає затримане виконання та процес верифікації спільнотою.