Аудиторские отчеты и безопасность смарт-контрактов Drift Protocol
⚠️ Критическое уведомление: Инцидент безопасности (Апрель 2026)
Обращаем ваше внимание, что в апреле 2026 года Drift Protocol подвергся масштабному взлому, в результате которого платформа потеряла значительный объем пользовательских средств. На данный момент операционная деятельность протокола приостановлена.
Важно отметить, что аналитика показала: взлом произошел не из-за классической уязвимости в смарт-контракте (которую могли бы выявить аудиторы), а из-за комплексного сбоя в операционной безопасности (OpSec), включая компрометацию процессов мультисиг-кошельков и нецелевое использование механизма durable nonces в сети Solana. Этот инцидент служит суровым напоминанием: успешное прохождение аудита кода (Tier-1 фирмами) не гарантирует полную безопасность всей экосистемы протокола.
Ниже представлены исторические аудиторские заключения, которые Drift проходил в период с 2022 по 2024 год до наступления инцидента. Материал носит строго исследовательский характер.
До инцидента 2026 года Drift Protocol считался одной из самых технически совершенных децентрализованных бирж бессрочных фьючерсов на блокчейне Solana. Ввиду колоссальной сложности кодовой базы V2, включающей гибридный AMM, JIT-аукционы ликвидности и кросс-маржинальный механизм кредитования, команда привлекала ведущие компании индустрии кибербезопасности для валидации своих смарт-контрактов (программ).
Архитектура аудита: Trail of Bits, Neodyme и Zellic
Trail of Bits (Аудит Core DEX)
В период с ноября по декабрь 2022 года престижная фирма Trail of Bits (TOB), известная сотрудничеством с Google и Microsoft, провела комплексный white-box аудит Drift Protocol. Аудиторы использовали комбинацию статического и динамического тестирования для поиска уязвимостей, которые могли бы нарушить целостность данных или доступность контрактов. По результатам проверки критических угроз (high-severity flaws) на тот момент выявлено не было.
Neodyme (Аудит Drift V2 и экономического движка)
В период с февраля по апрель 2024 года аудиторская компания Neodyme сфокусировалась на сложнейшем модуле Margin Calculator. Аудит выявил один критический баг (critical finding), связанный с некорректным расчетом комиссий, выплачиваемых "кранкерам" (хранителям ордеров), что в теории могло позволить постепенно выкачивать средства из протокола. Команда разработчиков Drift оперативно устранила проблему до развертывания обновления в Mainnet.
Zellic (Архитектурный аудит)
Дополнительно Drift Protocol подвергся независимой проверке от фирмы Zellic. Отчет опубликован в их официальном репозитории публикаций (GitHub) и покрывает проверку математики кривых AMM, устойчивость к манипуляциям с оракулами Pyth и правильность вычисления метрик риска позиций (Health factor).
Официальные отчеты безопасности (Исторический архив)
Ссылки ведут на официальные хранилища документации и репозитории аудиторов.
| Компонент / Протокол | Аудитор | Саммари уязвимостей (TL;DR) | Оригиналы отчетов |
|---|---|---|---|
| Drift DEX & Smart Contract Solana Core Architecture |
Trail of Bits | Audited (2022-2023). Проверка устойчивости к атакам на целостность, конфиденциальность и доступность. Все найденные Medium-issues были обработаны командой. | Отчет |
| Drift V2 Program Cross-Margin & Liquidations |
Neodyme | Resolved (2024). Обнаружена 1 критическая уязвимость логики вознаграждений cranker'ов. Ошибка устранена, фикс валидирован Neodyme до деплоя. | Отчет |
| Drift Protocol Logic AMM & Oracle Integration |
Zellic | Audited. Полный анализ экономической безопасности гибридной книги ордеров. | Отчет |
Образовательный хаб: Уроки взлома 2026 года и OpSec
Инцидент с Drift в апреле 2026 года кардинально изменил подход индустрии к оценке рисков DeFi. Он наглядно доказал, что проверка смарт-контрактов (Smart Contract Audit) больше не является достаточной мерой безопасности. Системы становятся уязвимыми вне блокчейна.
Smart Contract Security
Охватывает то, что делают аудиторы (Trail of Bits, Neodyme): поиск багов в коде, ошибок округления (precision loss), неверных проверок аккаунтов (AccountInfo validation в Solana Anchor) и уязвимостей реентеранбельности (Reentrancy).
Operational Security (OpSec)
То, из-за чего пострадал Drift. Компрометация привилегированных ключей (admin keys), отсутствие или недостаточный период временной блокировки (Timelock) для критических обновлений, социальная инженерия и централизованные зависимости.
Статус восстановления и мониторинг
В настоящее время Drift DAO работает над планом реструктуризации и возмещения средств пострадавшим (Recovery Pool). Возможный перезапуск протокола потребует совершенно новых аудитов от независимых фирм (включая OtterSec) и полного пересмотра архитектуры безопасности ключей.
Следить за статусом Drift на CertiK Skynet