Взлом Drift Protocol: похищено более $280 млн — крупнейшая DeFi-атака на Solana в 2026 году

Drift Protocol — один из ключевых деривативных протоколов в экосистеме Solana — подтвердил, что подвергся активной атаке и остановил все операции ввода и вывода средств. Инцидент произошёл 1 апреля и уже рассматривается как крупнейшая DeFi-атака на Solana в 2026 году: похищено свыше $280 млн активов, связанных с JLP. Ряд затронутых проектов подчёркивает: это "не первоапрельская шутка". По данным предварительного расследования, атака была связана с повышением привилегий и уязвимостью исполнения операций в мультисиге. Основатель SlowMist Юй Сянь сообщил, что неделю назад Drift перевёл управление на мультисиг 2/5 без таймлока (то есть действия исполняются сразу), где использовались один старый адрес и четыре новых кошелька-подписанта. После этого злоумышленник, по версии исследователей, получил управленческие права, отчеканил поддельные токены CVT, манипулировал оракулами, отключил связанные механизмы безопасности и вывел активы из пула. Ончейн-данные показывают, что атакующий сначала приобрёл 41,72 млн Jupiter Liquidity Tokens (JLP) примерно на $155,6 млн, затем быстро вывел крупные объёмы USDC и других токенов и перевёл средства через кроссчейн-мост на Ethereum, где купил около 19 913 ETH (порядка $42,6 млн). Вся операция уложилась примерно в 11 крупных транзакций, среди них: 51,61 млн USDC (около $51,62 млн), 125 000 WSOL (около $10,45 млн), 164 000 cbBTC (около $11,29 млн). Адрес кошелька злоумышленника: HkGz4KmoZ7Zmk7HN6ndJ31 UJ1qZ2qgwQxgVqQwovpZES. За считаные минуты совокупные казначейские активы Drift, по оценке наблюдателей, сократились с $309 млн до $41 млн. Около 03:00 по времени сообщения команда Drift заявила о компрометации и о координации реагирования с несколькими компаниями по безопасности, кроссчейн-мостами и биржами. Официальная причина атаки пока не названа. PeckShield считает наиболее вероятным сценарием компрометацию администраторского ключа, что позволило злоумышленнику управлять казначейством через привилегированный доступ; в этой трактовке речь идёт о "эскалации привилегий", а не об ошибке в коде смарт-контракта. В сообществе также обсуждают версию с подменой параметров залога: якобы атакующий мог искусственно завысить стоимость малоликвидных активов и под их "раздутую" оценку занять высоколиквидные токены, выведя средства из хранилища — подход, похожий на прежние governance-атаки в DeFi. Проверки продолжаются, версии со смарт-контрактной уязвимостью и манипуляцией оракулом не исключены. Отдельное внимание привлекли следы подготовки: Solana-кошелёк атакующего был пополнен всего 1 SOL на прошлой неделе и ранее получил тестовый перевод примерно на $2,52 из казны Drift, что может указывать на проверку прав доступа перед основной фазой. Также отмечается, что связанный источник средств ведёт к Backpack, что потенциально оставляет KYC-следы. Рынок отреагировал распродажей. Токен DRIFT за последние 24 часа упал более чем на 38% и торгуется около $0,042, что означает снижение более чем на 98% от исторического максимума $2,60 (ноябрь 2024 года). SOL на фоне новостей опускался ниже $80; падение за 24 часа составило почти 5%, текущая цена — $78,60. Кошелёк Phantom начал показывать пользователям предупреждение о рисках при попытке взаимодействия с Drift. Компании Forward Industries и DeFi Development Corp, упомянутые как связанные с казначейством Solana, заявили, что их средства не пострадали. По оценке криптоинфлюенсера @lugeweb3, среди проектов с подтверждёнными потерями или существенными последствиями: @piggybank_fi: похищено $106 000; команда добавляет ликвидность для компенсации пользователям. @DeFiCarrot: продукты Boost и Turbo не затронуты, но из-за уязвимости пострадала система; чеканка/обмен временно приостановлены. @uselulo: под риском обычные депозиты (protected и enhanced депозиты не затронуты). @reflectmoney: заморожены все операции выпуска и погашения USDC+ и USDT+; займы под обеспечение рынков Drift приостановлены. @ranger_finance: депозиты и вывод rgUSD остановлены; $900 000 из $14,6 млн TVL на Drift заморожены. @elementaldefi: заморожены депозиты SOL и Lend, размещённые в Drift (средства в USDC и ONYC в безопасности). @TradeNeutral: все хранилища, связанные с Drift (JLP, BTC/ETH/SOL superstaking, Hyper JLP и др., суммарный TVL $3,6 млн), могут быть затронуты; ввод/вывод приостановлен. @xplaceapp: депозиты и вывод недоступны; отключены кредитный режим и функции лендинга. @GetPyra: средства затронуты, все функции карт приостановлены. @ExponentFinance: торговые операции, связанные с USDC+, приостановлены. @fusewallet: депозиты временно приостановлены. @perena: стейблкоины не затронуты, но погашения на паузе; JLP Vault на Neutral Trade (TVL $512K) может быть затронут. Проекты, заявившие об отсутствии влияния: @JupiterExchange @kamino @UnitasLabs @onrefinance @solflare @hylo_so @MarinadeFinance @synatraxyz @solsticefi @defidevcorp @jito_sol @s2> MeteoraAG @sanctumso @wormhole. По масштабу ущерба инцидент может стать одним из крупнейших событий безопасности в Solana DeFi со времён атаки на кроссчейн-мост Wormhole. До взлома TVL Drift оценивался примерно в $550 млн; прямые потери достигают $285 млн, что делает кейс крупнейшим по ущербу среди DeFi-инцидентов 2026 года на данный момент. Для сравнения, в марте суммарные потери DeFi составили около $52 млн по 20 крупным инцидентам, а один только взлом Drift резко поднял показатель потерь за первое полугодие. Случай вновь подчёркивает: в DeFi критична не только безопасность кода, но и операционная защита. Если версия о компрометации администраторского приватного ключа подтвердится, это станет очередным напоминанием, что человеческий фактор остаётся слабейшим звеном в ончейн-безопасности. Пользователям рекомендуется не вносить средства и не взаимодействовать с протоколом до публикации Drift полного отчёта о расследовании и чёткого плана устранения последствий.