Drift Protocol zhakowany na 285 mln dolarów: co poszło nie tak i co dalej

1 kwietnia 2026 roku protokół Drift Protocol, należący do Solany, został wykorzystany na kwotę około 285 milionów dolarów, co czyni go największym atakiem hakerskim na DeFi w tym roku. Atakujący wykorzystał wielotygodniową konfigurację obejmującą fałszywy token, zmanipulowane źródła cen i wstępnie podpisane transakcje, aby przejąć kontrolę administracyjną nad protokołem, a następnie w niecałe 12 minut wyłudził prawdziwe środki użytkowników.

Co się stało z protokołem Drift Protocol 1 kwietnia?

Atak nie pojawił się znikąd. Według zespołu Drift Protocol, był to efekt wielodniowych przygotowań, które stały się widoczne dopiero wtedy, gdy szkody były już wyrządzone.

Całkowita zablokowana wartość (TVL) spółki Drift spadła z około 550 milionów dolarów do poniżej $ 300 mln w niecałą godzinę. Token DRIFT spadł o ponad 40% podczas incydentu. Firma ochroniarska PeckShield Zatwierdzony strata przekroczyła 285 milionów dolarów, co stanowiło ponad 50% ówczesnego limitu przychodów protokołu.

Moment ujawnienia informacji wywołał natychmiastowe zamieszanie. Zespół Drifta opublikował na X wpis wyjaśniający, że sytuacja jest prawdziwa: „To nie jest primaaprilisowy żart. Prosimy o zachowanie ostrożności do odwołania”.

Protokół zawiesił wszystkie wpłaty i wypłaty na czas trwania śledztwa.

W jaki sposób atakujący zaaranżował exploit kilka dni wcześniej?

Per podaje, że atakujący spędził co najmniej 9 dni na tworzeniu warunków umożliwiających kradzież, zanim ją wykonał.

Fałszywy token i pułapka wyroczni

Atakujący stworzył token o nazwie Token CarbonVote (CVT), emitując około 750 milionów jednostek. Zasilili pulę płynności na Raydium kwotą zaledwie 500 dolarów i stosowali wash trading, kupując i sprzedając token między własnymi portfelami, aby zbudować fałszywą historię cenową zbliżoną do 1 dolara. Z czasem wyrocznie cenowe w łańcuchu bloków wychwyciły tę sztuczną cenę i potraktowały CVT jako legalny składnik aktywów o wartości około 1 dolara za token.

Wyrocznia to usługa, która wprowadza zewnętrzne dane cenowe do inteligentnego kontraktu. Gdy wyrocznia otrzymuje zmanipulowane dane, inteligentny kontrakt nie ma możliwości rozpoznania, że ​​cena jest fałszywa.

Trwały atak nonce

Osobno, atakujący wykorzystał funkcję Solany o nazwie „trwałe nonces” do wstępnego podpisywania transakcji i opóźniania ich wykonania. Trwały nonces zastępuje standardowy mechanizm wygasania transakcji, umożliwiając przechowywanie podpisanej transakcji i jej przesłanie w dowolnym momencie w przyszłości.

Odkryj obiecujące projekty...

Obiecujące projekty...

(Reklama)

Artykuł ciąg dalszy...

Oś czasu:

• Marzec 23: Utworzono cztery trwałe konta nonce. Dwa były powiązane z prawdziwymi członkami Drift Security Council multisig. Dwa były kontrolowane przez atakującego.
• Marzec 27: Drift przeniósł swoją Radę Bezpieczeństwa z powodu planowanej zmiany składu. Atakujący uzyskał również dostęp do dwóch sygnatariuszy w zaktualizowanym systemie multisig.
• Marzec 30: Utworzono nowe trwałe konto nonce dla członka zaktualizowanego multisig.
• Kwiecień 1: Napastnik wykonał dwie podpisane wcześniej trwałe transakcje nonce w odstępie czterech slotów, kończąc transfer administracyjny, który dał mu kontrolę nad uprawnieniami na poziomie protokołu.

Po zabezpieczeniu dostępu administratora atakujący wprowadził CVT jako ważny rynek na platformie Drift, usunął wszystkie limity wypłat, wpłacił setki milionów tokenów CVT jako zabezpieczenie, a następnie wykonał 31 szybkich wypłat, wyczerpując rzeczywiste aktywa, w tym USDC, JLP, SOL, opakowane BTC, Jito (JTO) i memcoina Fartcoin (FRT), w ciągu około 12 minut.

Firma Drift potwierdziła, że ​​atak nie był wynikiem błędu w jej inteligentnych kontraktach ani żadnych naruszonych fraz źródłowych. Zamiast tego, obejmował on „nieautoryzowane lub błędnie przedstawione zatwierdzenia transakcji uzyskane przed ich wykonaniem”.

Audyty bezpieczeństwa przeprowadzone przez Trail of Bits w 2022 r. i ClawSecure w lutym 2026 r. wykluczyły atak Drift, jednak żaden z audytów nie wykazał wprowadzenia CVT na rynek ani zmian w zarządzaniu, które umożliwiły przeprowadzenie ataku.

Gdzie podziały się skradzione fundusze?

Po wykorzystaniu luki atakujący szybko zareagował, aby zatrzeć ślad.

Skradzione aktywa zostały przekonwertowane na USDC i SOL, a następnie przetransferowane z Solany do Ethereum za pomocą protokołu Cross-Chain Transfer Protocol (CCTP) firmy Circle. Na Ethereum atakujący przekonwertował środki na ETH. Według danych śledzenia on-chain, atakujący ostatecznie zgromadził 129 066 ETH, o wartości około $ 273 mln wtedy.

Atakujący zdeponował SOL również na kontach HyperLiquid i Binance, co utrudniło śledzenie go na wielu platformach i portfelach.

Czy Circle zrobiło wystarczająco dużo, aby powstrzymać kradzież?

Śledczy on-chain ZachXBT publicznie krytykowany Zaznacz kółkiem informację o eksploicie, wskazując, że duże ilości skradzionych USDC zostały przelane z Solany do Ethereum w godzinach pracy w USA i nie zostały zamrożone.

ZachXBT zestawiło tę odpowiedź z niedawną decyzją firmy Circle o zamrożeniu 16 niezwiązanych ze sobą korporacyjnych portfeli gorących w zamkniętym postępowaniu cywilnym w USA, argumentując, że firma Circle miała zarówno możliwości, jak i precedens, aby interweniować, ale nie podjęła działań wystarczająco szybko, aby ograniczyć szkody.

Które protokoły zostały objęte Beyond Drift?

Konsekwencje rozprzestrzeniły się na cały ekosystem DeFi Solany. Kilka platform powiązanych z płynnością Drift wstrzymało działalność lub zgłosiło straty:

• PiggyBank_fi odnotował ekspozycję na poziomie około 106 000 USD poprzez strategie neutralne pod względem delty i bezpośrednio zabezpieczył użytkowników przy użyciu środków zespołu.
• Reflect Money wstrzymało bicie i wykupywanie monet USDC+ i USDT+.
• Ranger Finance wstrzymał wpłaty i wypłaty RGUSD, szacowane ryzyko przekroczyło 900 000 USD.
• Project0 jako środek ostrożności zaprzestał zaciągania pożyczek pod zastaw pozycji Drift.
• TradeNeutral, GetPyra, xPlace, Uselulo i Elemental DeFi wstrzymały kluczowe funkcje lub zgłosiły ograniczoną ekspozycję.
• Jupiter Exchange potwierdziło, że jego pula JLP jest w pełni wspierana.

Co dalej z Driftem?

Drift współpracuje z wieloma firmami ochroniarskimi, giełdami, mostami i organami ścigania w celu śledzenia i odzyskiwania skradzionych aktywów. Multisig został zaktualizowany, aby usunąć zainfekowany portfel. Wszystkie pozostałe funkcje protokołu pozostają zamrożone.

Zdaniem Immunefi Dyrektor generalny Mitchell AmadorWpływ na cenę tokena często trwa dłużej niż sam atak. Dane Immunefi pokazują, że 83% natywnych tokenów zhakowanych protokołów nigdy nie odzyskuje cen sprzed ataku.

W najbliższych dniach spodziewana jest szczegółowa sekcja zwłok Drifta.

Zasoby

1. PeckShield na X: Posty (1-2 kwietnia)

2. Lookonchain na platformie X: Posty (1-2 kwietnia)

3. Protokół dryfu na X: Posty (1-2 kwietnia)

4. Mitchell Amador na X:Opublikowano 25 marca