Атакующий Drift Protocol усиливает накопление ethereum после проведения сложной операции, нацеленной на административные системы протокола и хищения 285 миллионов долларов из его хранилищ.
Согласно данным, отслеживаемым Lookonchain, злоумышленник потратил миллионы долларов в USDC на приобретение 130 262 ETH, стоимость которых составляет около 265 миллионов долларов, за последние сутки.
Эксплуататор @DriftProtocol только что потратил ещё 2,46 млн $USDC на покупку 1 195 $ETH.
Они купили в общей сложности 130 262 $ETH ($267 млн).https://t.co/ZKbh8J7jRRpic.twitter.com/5Z3Jq2X9NM
— Lookonchain (@lookonchain) 2 апреля 2026
Ethereum торговался по $2 038 на момент публикации, снизившись примерно на 4% за тот же период, по данным CoinGecko.
Родной токен Drift, DRIFT, резко упал до $0,049, потеряв более 30% своей стоимости с момента атаки.
Что случилось с Drift Protocol?
Атака была впервые замечена 1 апреля, когда генеральный директор Helius Мерт Мумтаз предупредил сообщество, что Drift Protocol может подвергаться эксплуатации.
еще не уверен на 100%, но кажется, что drift может использоваться в эксплуатационных целях
отслеживайте свои позиции https://t.co/xaHqJNDHg2
— mert (@mert) 1 апреля 2026
Вскоре после этого PeckShield выявила необычные исходящие транзакции, затрагивающие более 15 токенов, подтвердив серьезную уязвимость. Первоначальные потери оценивались примерно в 270 миллионов долларов.
Примерно через два часа команда Drift Protocol публично подтвердила инцидент в X, приостановив все депозиты и выводы средств, пока координировала действия с компаниями по безопасности, мостами и биржами для устранения инцидента.
Как была организована атака
Согласно последнему обновлению Drift, злоумышленник атаковал человеческий и процедурный уровень мультиподписи Совета безопасности — административную структуру 2 из 5, управляющую критическими разрешениями на уровне протокола.
Ранее сегодня злонамеренный участник получил несанкционированный доступ к Drift Protocol с помощью нового вида атаки, использующего долговременные nonce, что привело к быстрому захвату административных полномочий Совета безопасности Drift.
Это была крайне сложная операция, которая, по всей видимости, включала…
— Drift (@DriftProtocol) 2 апреля 2026
Подготовка
Операция тщательно готовилась в течение нескольких недель. Как отмечалось в проекте, долгосрочные аккаунты nonce были созданы на Solana уже 23 марта для обеспечения отложенного выполнения предварительно подписанных транзакций.
Получив подписи одобрения как минимум от двух из пяти членов Совета безопасности, вероятно, с помощью социальной инженерии или искажения информации о транзакциях, злоумышленник получил достаточные полномочия для захвата административного контроля.
В течение этого периода 23 марта были созданы четыре долгосрочных аккаунта с одноразовыми номерами: два связаны с существующими членами Совета Безопасности, а два находятся под контролем атакующего.
Когда Drift провела запланированную миграцию Совета безопасности 27 марта, злоумышленник адаптировался, создав дополнительный долговечный аккаунт нонса 30 марта, привязанный к новому назначенному участнику мультиподписи.
Исполнение
Атака была осуществлена 1 апреля, вскоре после того как команда Drift завершила легитимную тестовую выдачу средств из своего страхового фонда.
Атакующий отправил две предварительно подписанные долгосрочные транзакции с разницей всего в четыре слота в сети Solana. Первая транзакция создала и одобрила вредоносный перевод администратора, а вторая одобрила и выполнила его.
Обладая полным контролем над разрешениями на уровне протокола, злоумышленник внедрил вредоносный актив, удалил все установленные лимиты на вывод и изъял средства в рамках примерно 31 транзакции за примерно 12 минут.
Затронутые средства включают депозиты в пулах займа и кредитования, депозиты в хранилищах и активы, удерживаемые для торговли.
Drift подтвердила, что страховой фонд и токены DSOL, не внесенные напрямую на платформу, включая активы, заблокированные на валидаторе Drift, остались незатронутыми.
Финансовые последствия
До эксплуатации уязвимости общий объем заблокированных средств (TVL) Drift Protocol превышал 550 миллионов долларов, что делало его одним из крупнейших DeFi-приложений Solana, согласно DeFiLlama.
На пике TVL Drift Protocol достигла $1,3 млрд. После атаки TVL упала до примерно $247 млн.
Токен DRIFT, который до взлома торговался выше $0,07, упал до примерно $0,04, что отражает снижение на 42% за 24 часа. Его рыночная капитализация сократилась с примерно $41 млн до $25 млн.
Эксплуатация также затронула примерно 11 последующих протоколов. Например, Ranger Finance столкнулась с оценочным риском в размере 900 000 долларов.
Что такое Drift Protocol?
Основанная в 2021 году, Drift выделяется среди централизованных бирж тем, что работает полностью на блокчейне Solana, обеспечивая, чтобы средства пользователей оставались под их контролем.
В сентябре 2024 года компания привлекла 25 миллионов долларов в серии B, возглавляемой Multicoin Capital, с дополнительным участием Blockchain Capital, Primitive Ventures и Folius Ventures.
Сооснователь Синди Лью стремится сделать Drift «Робинхудом криптовалют», создав интегрированный набор финансовых услуг, включающий спотовую и деривативную торговлю, а также прогнозный рынок.