Злоумышленник, взломавший Drift Protocol, вывел $285 млн и скупил 130 262 ETH

Злоумышленник, стоящий за атакой на Drift Protocol, наращивает позиции в Ethereum после масштабного взлома: из хранилищ протокола было выведено $285 млн. По данным Lookonchain, за последние сутки атакующий потратил миллионы USDC на покупку 130 262 ETH — примерно на $265 млн. В частности, он дополнительно обменял 2,46 млн USDC на 1 195 ETH; суммарный объём приобретений оценивается в 130 262 ETH (около $267 млн). На момент публикации Ethereum торговался по $2 038, снизившись примерно на 4% за тот же период, следует из данных CoinGecko. Нативный токен Drift, DRIFT, обвалился до $0,049 и потерял более 30% с момента атаки. Что известно об атаке 1 апреля о возможной эксплуатации Drift Protocol сообщил сообществу CEO Helius Мерт Мумтаз. Вскоре PeckShield зафиксировала нетипичные оттоки более чем по 15 токенам, подтвердив крупный инцидент; первоначальная оценка потерь составляла около $270 млн. Примерно через два часа команда Drift публично признала факт взлома в X, остановила ввод и вывод средств и начала координацию с компаниями по безопасности, мостами и биржами. Как была проведена операция В свежем обновлении Drift заявила, что атакующий ударил по "человеческому и процедурному" уровню Security Council multisig — административной схеме 2-of-5, которая управляет критически важными разрешениями протокола. Подготовка По данным проекта, подготовка длилась несколько недель. Аккаунты durable nonce в сети Solana были созданы уже 23 марта, чтобы обеспечить отложенное исполнение заранее подписанных транзакций. Получив подписи как минимум двух из пяти членов Security Council (предположительно через социальную инженерию либо подмену сути транзакций), злоумышленник собрал достаточный набор подтверждений для захвата административного контроля. В этот период 23 марта были созданы четыре durable nonce-аккаунта: два привязаны к действующим членам Security Council, ещё два контролировались атакующим. После плановой миграции Security Council 27 марта злоумышленник адаптировался и 30 марта создал дополнительный durable nonce-аккаунт, связанный с новым участником multisig. Исполнение Атака была реализована 1 апреля вскоре после того, как команда Drift завершила легитимный тестовый вывод средств из страхового фонда. Злоумышленник отправил две заранее подписанные durable nonce-транзакции с разницей всего в четыре слота в Solana. Первая транзакция создала и одобрила вредоносную передачу админ-прав, вторая — одобрила и исполнила её. Получив полный контроль над протокольными разрешениями, атакующий добавил вредоносный актив, снял все предустановленные лимиты на вывод и вывел средства примерно 31 транзакцией за порядка 12 минут. Под удар попали депозиты в пулах borrow-and-lend, средства в хранилищах (vaults) и активы, размещённые для трейдинга. Drift подчеркнула, что страховой фонд, а также токены DSOL, не внесённые напрямую на платформу (включая активы, застейканные у валидатора Drift), затронуты не были. Рыночные последствия До инцидента совокупная заблокированная стоимость (TVL) Drift Protocol превышала $550 млн, что делало проект одним из крупнейших DeFi-приложений в экосистеме Solana, по данным DeFiLlama. На пике TVL достигал $1,3 млрд. После взлома показатель упал примерно до $247 млн. Токен DRIFT, торговавшийся выше $0,07 до атаки, опустился примерно до $0,04, что соответствует падению на 42% за 24 часа. Рыночная капитализация сократилась ориентировочно с $41 млн до $25 млн. Эксплойт затронул около 11 протоколов "второго уровня", зависящих от Drift. Так, Ranger Finance оценил свою экспозицию примерно в $900 000. Что такое Drift Protocol Основанный в 2021 году Drift позиционирует себя как альтернативу централизованным биржам: сервис полностью работает в блокчейне Solana, а пользовательские средства остаются под контролем пользователей. В сентябре 2024 года компания привлекла $25 млн в раунде Series B под руководством Multicoin Capital при участии Blockchain Capital, Primitive Ventures и Folius Ventures. Соосновательница Синди Лоу заявляла цель сделать Drift "Robinhood для крипто", развивая интегрированный набор финансовых сервисов — спотовую и деривативную торговлю, а также рынок прогнозов.