Drift цим ударом дістав до найбільш болячої раны галузі.
1 квітня, День дурня.
Найбільша біржа перпетуальних контрактів на ланцюжку Solana Drift Protocol зараз розграбовується, і перша реакція спільноти: «Чудовий жарт на 1 квітня».
Це не жарт. Близько 13:30 онлайн-моніторингові акаунти Lookonchain та PeckShield майже одночасно висвітили тривогу: невідомий гаманець, що починається на «HkGz4K», швидко виводить активи з казни Drift. Перша транзакція — 41 мільйон JLP, що становить 155 мільйонів доларів США. Невдовзі за ними — 51,6 мільйона USDC, 125 тисяч WSOL, 164 тисячі cbBTC… Децятеро активів, як вода з відкритого сливу в ванні, хлюпали назовні.
Одна година. Активи скарбниці впали з 309 мільйонів доларів США до 41 мільйона. Більше половини TVL випарувалося.
Команда Drift опублікувала твіт у X з незвичайною стурбованістю: «Drift Protocol зазнає активної атаки. Внесення та виведення коштів призупинено. Ми координуємо з кількома безпечними компаніями, мостами та біржами, щоб контролювати ситуацію».
А потім — той фраза, яка обов’язково буде занесена до історії криптовалют: "Це не апрельська шутка."
Один ключ відкриває всі двері
Числа щодо крадіжки Drift відрізняються залежно від джерела. PeckShield оцінює її на приблизно 285 мільйонів доларів США, Arkham — понад 250 мільйонів, а попередня оцінка CertiK — близько 136 мільйонів. Але будь-яке з цих чисел робить цей інцидент найбільшою безпековою подією у DeFi у 2026 році.
Що варто звертати увагу більше, ніж цифри — це спосіб атаки.
Засновник PeckShield Цзян Сюйсянь чітко сказав Decrypt: «Адміністративний ключ Drift був явно скомпрометований або зламаний». Зображення атаки, складене дослідниками ланцюга, показує, що хакери отримали привілейований доступ до протоколу Drift і таким чином контролювали потік коштів із скарбниці.
Іншими словами, ніяких складних використань вразливостей смарт-контрактів, ніяких атак з використанням блискавичних кредитів, ніякого маніпулювання оракулами. Просто найпростіша, найзастаріла помилка в безпеці — хтось втратив приватний ключ.
Ще більш тривожним деталем є те, що атакувачі діяли не навмання. Дані ланцюга показують, що цей гаманець отримав початкові кошти за 8 днів до атаки через Near Intents, після чого перебував у бездіяльності. За тиждень до атаки він навіть отримав мізерний переказ у розмірі 2,52 долара з каси Drift. Це була пробна дія, «постукання у двері».
Через тиждень двері вибили.
Падіння криптоверсії Robinhood
Для співзасновниці Drift Сінді Ліоу 1 квітня стався кошмар із особливо жорстокою підставою.
Історія цього малайзійського китайського підприємця колись була одним із найкращих вдохновлюючих розповідей про Solana DeFi. У 2016 році він розпочав із арбітражу біткойнів між Китаєм та Південною Кореєю, керував власним хедж-фондом, розробляв деривативні проекти на Ethereum, а у 2021 році разом із Девідом Лю заснував Drift, зробивши ставку на швидкість Solana для овернайт-контрактів у блокчейні.
З точки зору історії, Drift майже вловив кожну хвилю. У 2024 році отримав два раунди фінансування з лідерством Polychain та Multicoin на загальну суму 52,5 мільйона доларів США. Запустив прогнозний ринок у конкуренції з Polymarket, додав плече 50x, TVL перевищив 5,5 мільярда доларів США, а загальний обсяг угод перевищив 50 мільярдів. У інтерв’ю з Fortune Leow використав амбітну позицію: стати «криптоверсією Robinhood».
Ця метафора зараз звучить складно. Основна обітниця Robinhood — надати звичайним людям доступ до фінансових інструментів Волл-стріт. Основна обітниця Drift — надати користувачам «неконтрольований» досвід торгівлі в ланцюгу, де ваші кошти не проходять через руки нікого, а взаємодіють лише з кодом.
Але за кодом існує адміністративний ключ. І безпека цього ключа в кінцевому підсумку залежить від людей, а не криптографії.
Тут ще є один болісний історичний збіг. У 2022 році, під час епохи Drift v1, вже траплялася інцидент з виснаженням скарбниці. Команда після цього опублікувала надзвичайно детальний технічний звіт і навіть розкрила код концепт-верифікації, що демонструє, як атакувальник міг виснажити всю скарбницю за одну угоду. Збитки від цього інциденту склали 14,5 мільйона доларів США, і команда повністю відшкодувала користувачам за рахунок власних коштів.
Чотири роки по тому той самий кошмар відбувся з 20-кратним масштабом.
Віра в децентралізацію, централізована слабка місце
Відійдіть трохи від Drift — і ви помітите, що формується незручна закономірність.
На початку 2025 року служба керування ключами AWS Resolv Labs була скомпрометована; зловмисники використали привілейовані ключі для схвалення масштабних операцій з випуску стабільної монети USR, що спричинило ланцюгові втрати на різних платформах. У 2025 році загальна сума криптовалютних крадіжок досягла історичного максимуму — 3,4 млрд доларів США. Звіт Chainalysis особливо звернув увагу на зміну тенденції: найбільш руйнівні події відбувалися на інфраструктурному рівні. Зламані машини розробників, єдині ключі для випуску, збережені в хмарі, та фішингові атаки на процеси підпису — саме це було справжніми чорними дірами, що поглинали кошти.
Тепер додайте Drift.
Якщо розглянути ці випадки разом, висновок майже неминучий: безпека приватного ключа витіснила вразливості розумних контрактів як найбільший системний ризик у DeFi.
Існує когнітивний розрив, достатньо великий, щоб поглинути десятки мільярдів доларів.
Дефі-протоколи розповідають зовнішньо історію про «децентралізацію», «нетримання» та «відсутність необхідності довіряти». Ваші активи зберігаються кодом, і жоден посередник не може отримати доступ до ваших коштів. Користувачі сприйняли цю історію, поклали гроші в ці протоколи і думають: «Я маю справу з математикою».
Але реальність така: майже кожен діючий DeFi-протокол має одну або кілька «божествених ключів» — admin key, права на оновлення, контроль над скарбницею, аварійний перемикач зупинки. Існування цих ключів іноді обумовлене безпекою (можливістю аварійної зупинки у разі проблем), іноді гнучкістю (можливістю оновлення логіки контракту), але їх суть однакова: централізований пункт довіри, прихований у дезцентралізованому нарративі.
Користувачі вважають, що взаємодіють з кодом. Насправді вони довіряють одній особі або невеликій групі людей, які не зроблять помилки, не стануть жертвою фішингу, не будуть погрожувати і не залишать ноутбук у кав’ярні наприкінці ночі.
Це не проблема, властива лише Drift, а структурний конфлікт усього індустрії DeFi.
Куди поділися 285 мільйонів доларів США
Дії зловмисника в ланцюзі були чіткими й спокійними, як у професіонала.
Після виведення активів зі скарбниці Drift він швидко обміняв більшість токенів на стабільні монети, а потім перевів кошти на мережу Ethereum через мост Wormhole. На Ethereum він витратив частину стабільних монет на купівлю приблизно 19 913 ETH (на суму близько 42,6 мільйона доларів США), а решту коштів розподілив між кількома адресами гаманців.
Є дивний деталь: гаманець нападника також містить велику кількість Fartcoin, що становить приблизно 2,5% загального пропонування цього токена. Хакер, який щойно здійснив найбільший за рік крадіжку в DeFi, тримає в руках купу мем-токоенів з назвою, що означає «пердіння».
На момент публікації вивід і вивід коштів Drift залишаються призупиненими, а токен DRIFT впав з приблизно 0,072 долара США до близько 0,05 долара США, що становить зниження понад 28%. У порівнянні з історичним максимумом у 2,60 долара США, загальне зниження становить понад 98%. Гаманець Phantom вже вивів попередження користувачам, які намагаються отримати доступ до Drift.
Команда Drift повідомляє, що співпрацює з безпековими компаніями, операторами міжланцюгових міст та централизованими біржами, щоб спробувати заморозити та відстежити вкрадені кошти. Але якщо історія може щось підказати, то ймовірність повернення коштів, які були переведені через міжланцюгові мости та розподілені між кількома гаманцями, не є оптимістичною.
Проблема, з якою повинна чесно стикнутися індустрія
Drift цим ударом дістав до найбільш болячої раны галузі.
Chainalysis у звіті за кінець 2025 року оптимістично зазначила, що безпека DeFi досягла «суттєвого прогресу»: навіть коли TVL подвоївся до 119 мільярдів доларів США, збитки від хакерських атак у DeFi зменшилися. Випадок Venus Protocol був наведений як позитивний приклад: система моніторингу безпеки виявила аномалії за 18 годин до атаки, протокол швидко призупинив роботу, механізм управління заморозив кошти атакуючого, і сам атакуючий зазнав втрат.
Drift зруйнував цей «наратив прогресу». Ви можете досягти ідеалу в аудиті смарт-контрактів, впровадити найсучасніші ончейн-моніторинги, але якщо адміністративний ключ буде скомпрометовано через соціальну інженерію, фішинг або підбір паролю — вся інфраструктура безпеки виявиться як фортеця, побудована на піску.
Індустрія DeFi повинна зупинитися і чесно відповісти на питання: коли ви кажете користувачам «неконтрольовано», що ви маєте на увазі?
Якщо admin-ключ протоколу може в будь-який момент перевести всі активи з сейфу, у чому різниця зі зберіганням грошей на банківському рахунку незнайомця? Принаймні у банку є страховка, регулювання та правові засоби захисту.
Можливо, рішення не в усуненні цих адміністративних прав, оскільки в багатьох випадках їх існування необхідне. Але принаймні, галузь повинна припинити притворюватися, що їх немає. Мультипідписова управління, тайм-лока, апаратні модулі безпеки, зміна ключів… ці технічні рішення існують вже багато років, але занадто багато протоколів все ще залежать від уваги однієї чи двох людських операторів для захисту сотень мільйонів доларів.
Мрія про «криптоверсію Robinhood» дуже чудова. Але перед тим, як її реалізувати, можливо, спочатку варто відповісти на більш базове питання: хто зберігає цей ключ?