⚠️ ИНЦИДЕНТ БЕЗОПАСНОСТИ 2026

Анатомия Взлома Drift Protocol: $285 млн и Социальная Инженерия КНДР

1 апреля 2026 года криптовалютная индустрия стала свидетелем одного из самых пугающих и технологически сложных ограблений в истории DeFi. Крупнейшая биржа бессрочных фьючерсов на Solana, Drift Protocol, потеряла $285 миллионов (более 50% своего TVL) всего за 12 минут. Данный материал — это глубокий технический Post-mortem инцидента, составленный на основе отчетов Mandiant, TRM Labs, Elliptic и SEAL 911.

⚠️ Развеивание мифа: Смарт-контракт не был взломан

Первые часы после эксплойта многие СМИ и аналитики ошибочно предполагали наличие критического бага (например, ошибки округления) в модуле маржинального калькулятора. Официальное расследование опровергло эту версию. Код Drift Protocol сработал идеально. Проблема заключалась в Операционной Безопасности (OpSec). Атакующие получили легитимный (с точки зрения криптографии) доступ к мультисиг-кошельку администраторов протокола (Security Council) и изменили параметры обеспечения изнутри.

Хронология кражи: 6-месячная операция разведки

Специалисты по кибербезопасности из фирмы Elliptic и Mandiant с высокой степенью уверенности (medium-high confidence) атрибутировали атаку северокорейской государственной группировке UNC4736 (также известной как AppleJeus или Citrine Sleet) DPRK. Ранее эта же группа стояла за взломом Radiant Capital на $50 млн в октябре 2024 года.

Осень 2025 — Начало инфильтрации

Группа злоумышленников, выдавая себя за респектабельную «квантовую торговую фирму», подошла к разработчикам Drift на крупной криптовалютной конференции. Они имели детально проработанные фальшивые личности: истории работы, профили LinkedIn и профессиональные связи. Была создана рабочая группа в Telegram.

Декабрь 2025 — Январь 2026 — Построение доверия

Чтобы не вызывать подозрений, злоумышленники прошли стандартные процедуры онбординга, заполнили юридические документы и внесли более $1 000 000 собственного капитала в Ecosystem Vault протокола. Состоялось несколько личных встреч с командой Drift на конференциях в разных странах.

Февраль — Март 2026 — Техническая компрометация

Под предлогом совместной интеграции, хакеры передали разработчикам Drift код.

Векторы атаки:

Один из разработчиков клонировал GitHub репозиторий, который эксплуатировал недавно обнаруженную уязвимость (0-day) в популярных редакторах VS Code и Cursor. Простое открытие папки приводило к тихому выполнению вредоносного кода.
Второй разработчик был обманом вынужден установить поддельное приложение через Apple TestFlight, которое маскировалось под новый криптокошелек.

12–30 Марта 2026 — Подготовка капкана

Хакеры вывели 10 ETH из Tornado Cash для оплаты газа. Они создали фейковый мем-коин CarbonVote Token (CVT) на Solana (эмиссия 750 млн). Добавив всего ~$500 ликвидности на биржу Raydium, они через wash-трейдинг создали иллюзию объема и стабильной цены в $1. В это же время через скомпрометированные компьютеры разработчиков они подготовили пред-подписанные транзакции.

1 Апреля 2026, 16:05 UTC — Удар

Злоумышленники транслируют пред-подписанные транзакции в сеть. Они получают админ-доступ (за счет 2 из 5 подписей мультисига Squads), отключают лимиты на вывод, вносят фейковый CVT в белый список залогов. Затем они депонируют 500 млн CVT и выводят $285 млн в USDC, JLP, SOL и ETH. Вся операция заняла около 12 минут.

Глубокий технический разбор: Как это сработало?

1. Иллюзия безопасности аппаратных кошельков (Blind Signing)

Администраторы Drift Protocol использовали мультисиг 2-из-5 на базе инфраструктуры Squads. Все подписанты использовали холодные (аппаратные) кошельки. Почему это не спасло?

Проблема кроется в читаемости транзакций (Transaction Legibility). Когда разработчик подписывает сложную транзакцию на устройстве Ledger или Trezor, на экране часто отображается просто нечитаемый хэш или набор байтов. Хакеры, контролируя компьютеры жертв, подменяли данные в момент подписания. Разработчики думали, что подписывают рутинную операцию, но фактически выдавали "пустой чек" на изменение параметров протокола.

2. Solana 'Durable Nonces' (Долговечные Nonce)

В стандартном сценарии транзакция на Solana должна быть выполнена в течение ~150 блоков (около 1 минуты) после получения recent_blockhash. Если хакер перехватывает подпись, у него есть минута на ее использование. Однако злоумышленники использовали встроенную функцию Solana — Durable Nonces. Эта функция позволяет разделить момент подписания и момент выполнения. Они заставили жертв подписать транзакции 23 марта, а исполнили их 1 апреля.

3. Уязвимость нулевого Timelock (Zero-Timelock)

Атака стала возможной из-за фатальной архитектурной ошибки управления. 27 марта протокол мигрировал свой Security Council на конфигурацию с нулевой временной блокировкой (Zero-timelock). Обычно изменения в протоколе требуют 24–48 часов задержки, чтобы сообщество могло их заметить и заблокировать. Отсутствие Timelock позволило хакеру в одну секунду изменить параметры и выкачать ликвидность.

План восстановления: Роль Tether и будущее Drift

После кражи $285 миллионов будущее крупнейшей DEX на Solana оказалось под угрозой. Вокруг компании Circle (эмитента USDC) разгорелся скандал: инвесторы подали коллективный иск, обвиняя Circle в том, что компания имела техническую возможность заморозить украденные $232 млн USDC, отправленные через их мост CCTP на Ethereum, но действовала слишком медленно.

В середине апреля 2026 года на помощь пришел Tether. Крупнейший эмитент стейблкоинов совместно с Solana Foundation подтвердил выделение пакета финансовой помощи в размере $150 миллионов для возмещения убытков пострадавшим пользователям.

Стратегический пивот

Спасение от Tether имеет свои условия. Drift Protocol анонсировал полный ребрендинг и смену архитектуры. Протокол будет перезапущен исключительно как USDT-based бессрочная DEX, полностью удалив USDC из своего расчетного уровня (Settlement Layer).

Часто задаваемые вопросы

Был ли взломан смарт-контракт Drift Protocol?

Нет. Код смарт-контрактов Drift работал штатно и не содержал уязвимостей. Взлом стал результатом сложной атаки с использованием социальной инженерии, в результате которой были скомпрометированы ключи мультисиг-кошелька администраторов (Security Council).

Что такое CarbonVote Token (CVT)?

CVT — это фейковый токен, созданный хакерами. Они накачали его цену до $1 с помощью wash-трейдинга на пуле Raydium, затем, получив админ-доступ к Drift, добавили его в белый список в качестве залога. Внеся 500 млн CVT, они легитимно вывели $285 млн в реальных активах.

Как хакеры обошли аппаратные кошельки?

Используя проблему "слепого подписания" (blind signing). Хакеры заразили компьютеры разработчиков через уязвимость в редакторах кода (VS Code). Когда разработчики подключали Ledger/Trezor для подписи рутинных операций, вирус подменял транзакцию. Аппаратный кошелек просто показывал нечитаемый хэш, и разработчик одобрял вредоносную операцию, не зная об этом.