El хакване на протокола Drift, една от водещите децентрализирани дериватни платформи на Solana, се превърна в един от най-обсъжданите епизоди в скорошната DeFi екосистема, подобно на други скорошни случаи на хакерствоЗа броени минути нападател успя да завладее плячка, която анализът поставя между 220 и 285 милиона долара в различни крипто активи, което доведе до незабавно спиране на протокола и силно въздействие върху неговия собствен токен.
Освен цифрите, случаят е предизвикал тревога в европейската и испанската крипто общност, защото подчертава нещо особено чувствително: Това не беше класическа грешка в кодирането, но комбинация от социално инженерство, оперативни грешки и креативно използване на легитимни функции на мрежата Solana. Резултатът е пример за това как слабостите вече не са само в интелигентните договори, но и в човешките процеси, които ги заобикалят, за което е необходим контролен списък след инцидент.
Многомилионна атака срещу Drift Protocol: какво се случи и колко беше загубено
Протоколът за дрейф е, до датата на инцидента, най-голямата децентрализирана борса за вечни фючърси на блокчейна на Solana, с обща заключена стойност, която беше около 550 милиона Според портали за анализ на DeFi, в деня на атаката платформата е потвърдила чрез официалните си канали, че преживява... експлойт в реално време и продължи към спиране на депозити и тегления като същевременно координира реакцията с охранителни фирми, мостове и други участници в екосистемата.
Данните от веригата и докладите от специализирани компании като Arkham Intelligence и PeckShield поставят дупката в диапазон от малко повече от от 220 милиона до около 285 милиона долараСпоред метода на изчисление и оценката на всеки участващ актив, значителна част от дренажа е била концентрирана върху добив на приблизително 41 милиона JLP токена, оценени на над 150 милиона долара, от трезорите на Дрифт до портфолио, идентифицирано като HkGz4K в мрежата на Солана.
След този първи ход нападателят продължил да тегли големи суми пари. USDC, USDT, WBTC, обвити етерични и биткойн токени, мемкойни и други активипреразпределяне на собствеността между множество адреси, за да се възпрепятства проследяването. Подробни оценки от анализатори по сигурността показват общо приблизително 270 милиона долара в десетки различни токени, със силна концентрация в JLP и стейбълкойни.
La Официална реакция от Drift Това включваше замразяване на протокола, теглене и обезпечаване на застрахователните средства и премахване на компрометирания мултиподписен портфейл, който управляваше системата. В същото време, портфейли като Фантом Те започнаха да показват предупреждения на потребителите, опитващи се да взаимодействат с Drift, препоръчвайки максимална предпазливост, докато се разследва обхватът на атаката.
Дълготрайните еднократни изказвания в Солана: ключът към измамата
Един от най-поразителните аспекти на случая е, че противно на първоначалните предположения, нападателят не е използвал типична грешка в интелигентния договор или класически флаш заем. Вместо това, очевидно е разчитал на легитимна функция на Solana: трайни еднократни изказванияпроектиран да позволява подписване и отложено изпълнение на транзакции.
В Solana всяка транзакция включва скорошен хеш на блока който действа като вид времеви печат. Този хеш е валиден само за около 60 до 90 секунди; ако транзакцията не бъде изпратена в рамките на този период от време, тя се анулира, което служи като защита срещу повтаряне на стари поръчки. Устойчивите еднократни числа (nonces) обаче... Те заменят този ефимерен хеш с фиксиран код за еднократна употреба., съхранявани в специална сметка във веригата и чиято валидност може да бъде удължена с дни или седмици, докато някой реши да ги похарчи.
Тази функция е много полезна за конфигурации на разширена сигурностХардуерни портфейли, студено подписване или институционално съхранение, където процесите на одобрение могат да отнемат повече от минута. Проблемът е, че злоупотребата с тях отваря вратата за компрометиране на подписана днес транзакция. да бъде изпълнено по-късно в съвсем различен контекстИ подписващият няма лесен начин да отмени това одобрение, ако не управлява активно акаунта с еднократно действие. Предишни случаи показват риска от Кражба чрез надеждни приложения Те илюстрират как легитимни инструменти могат да бъдат използвани от нападателите.
Според времевата линия, публикувана от самия екип на Drift, нападателят би го създал на 23 март. четири трайни еднократни акаунтаДве бяха свързани с легитимни членове на Съвета за сигурност на протокола, а две бяха под негов пряк контрол. По този начин той вече имаше предварително подписани транзакции, които можеха да бъдат активирани в бъдеще, без да изтичат, очевидно с одобрението на поне... двама от петимата подписали на мултисигна, който управляваше Дрифт.
Няколко дни по-късно, на 27 март, се случи инцидент планирана миграция на Съвета за сигурност да замени един от членовете си. Нападателят се адаптира бързо: на 30 март нов издръжлив nonce акаунт свързан с актуализирания мултиподпис, което показва, че е възстановил прага от два от пет подписа, необходими в новата конфигурация. След като частите бяха готови, оставаше само да се избере правилният момент за натискане на бутона.
От подпис до източване: изпълнение на експлойта за минути
Атаката е започнала на 1 април. Първо, екипът на Дрифт е извършил законно оттегляне на доказателства от застрахователния си фонд, операция, която на хартия беше част от нормалното функциониране на протокола. Приблизително една минута по-късно нападателят изпрати верига от транзакции с предварително подписани трайни еднократни номера (trajnostni nonces), възползвайки се от контекста на административната дейност, за да прикрият движението си.
Само в няколко слота от блокчейна Solana – разделени от четири блока, според анализа във веригата – това беше постигнато създаване и одобряване на злонамерен административен трансфери след това да го изпълни. Това даде на нападателя ефективен контрол върху разрешенията на ниво протоколТова му позволи да въведе измамен механизъм за теглене и бързо да изпразни трезорите.
Тревожната подробност е, че според версията, предоставена от Drift, Не беше необходимо криптографско компрометиране на частните ключове на подписващите. Беше достатъчно двама членове на мултиподписа да одобрят транзакции, които или Те не разбираха напълноили са били представени по подвеждащ начин, което екипът е описал като „неоторизирани или погрешно представени одобрения“. Този тип инциденти напомнят на други, при които атаки с подправяне на идентификационни данни и оперативните повреди улесниха неоторизиран достъп.
Този модел се вписва в нарастващата тенденция при големи DeFi хакерски атаки през последните години: По-малко грешки в чистия код и повече повреди, свързани с оперативната безопасносткъдето социалното инженерство и слабите вътрешни процеси се превръщат в истинския вектор на атака. Дълготрайните еднократни числа (nonces) в този случай действаха като инструмент, който позволяваше подписването и изпълнението да бъдат разделени във времето, използвайки тази контекстуална празнина.
От европейска гледна точка, където все повече фондове и стартиращи компании изследват DeFi в мрежи като Solana, инцидентът се следи отблизо от регулатори и компании, които проучват как да укрепят... контроли за управление и потоци от подписи в критичната инфраструктура.
Откраднати средства: разбивка на активите и маршрут през мостове
Изследователите на веригата са се опитали точно да реконструират Какви активи са били откраднати и къде са се озовали?Агрегираният анализ показва, че откраднатата стойност е около 270 милионаразпределени между десетки токени и стейбълкойни. Най-голямата единична категория беше приблизително 155,6 милиона долара в токени на JLP, последвано от някои 60,4 милиона щатски долара, 11,3 милиона в CBBTC (Coinbase обвит Bitcoin), около 5,65 милиона в USDT и още няколко милиона в опаковани етери, DSOL, WBTC, FARTCOIN и други активи като JUP, JITOSOL, MSOL, BSOL или EURC.
La основно портфолио, използвано за започване на оттичането Финансирането е било осем дни по-рано чрез взаимодействия с екосистемата NEAR, но е останало неактивно до момента на атаката. От този адрес средствата са били прехвърлени към Междинни портфейли, финансирани предния ден чрез BackpackДецентрализирана борса, която изисква проверка на самоличността. Тази подробност, от значение за разследващите, отваря вратата към допълнителни насоки, ако властите поискат информация; тя също така подчертава важността на наблюдението на потенциални изтичане на идентификационни данни които улесняват проследимостта.
След това голяма част от плячката беше изнесена от Солана с помощта на мостове между веригиОт една страна, тя беше използвана Червеева дупка да премести активи в Ethereum. От друга страна, анализаторът на веригата ZachXBT документира, че повече от 230 милиарда долара в USDC Те прекосиха, използвайки Протокол за междуверижен трансфер (CCTP) Оградете над сто транзакции.
Един елемент, който е породил противоречия в общността, е липса на незабавно замразяване от тези USDC от Circle по време на критичните часове на атаката. Според времевите реконструкции е имало прозорец от приблизително шест часа От момента, в който подозрителната активност беше публично разкрита, до момента, в който по-голямата част от средствата приключиха с преместването, това послужи за възобновяване на дебата за ролята на централизираните емитенти на стабилни монети при инциденти от такъв мащаб.
Веднъж влезли в Ethereum, средствата следваха моделите, вече познати при големи DeFi обири: консолидация в контролни портфейлиРаботил съм в услуги за смесване като например Торнадо Кеш и прогресивни конверсии за разпределение на риска. Тази операция, повтаряна в различни предишни случаи, усложнява възстановяването, освен ако не бъдат идентифицирани регулирани точки (борси или фиатни рампи), където нападателите в крайна сметка се опитват да ликвидират.
Пазарна реакция: DRIFT токенът се срива и DeFi трептения
Въздействието на атаката върху пазара не закъсня. Нативният токен на платформата, DRIFTАкциите претърпяха рязка корекция в часовете след потвърждаването на експлойта. Данни от агрегатори като CoinMarketCap показват спадове между... 28% и над 40% в рамките на 24-часов период, като цената се плъзга към зоната на 0,04-0,06 долара, далеч от историческите върхове от около 2,60 долара, които беше достигнала в края на 2024 г.
Успоредно с това, пазарна капитализация стойността на токена беше намалена до малко над 20 милионадокато дневен обем на търговията Той скочи с над 300%, отразявайки масивни продажби, спекулативно препозициониране и хеджиращи движения. Съотношението обем/капитализация, доста над 100%, показва среда на Интензивна дейност и висока текучество по време на фазата на най-голяма волатилност.
В екосистемата на Solana и DeFi като цяло, инцидентът е интерпретиран като ново напомняне за структурни рискове свързани с протоколи за деривати и сложни архитектури на управление. Проекти с пряко или косвено излагане на Drift побързаха да публикуват изявления, поясняващи дали техните хазна или трезори са били засегнати, с цел да ограничат потенциална паника сред потребителите в Европа и други региони.
За инвеститорите на дребно и професионалните инвеститори в Испания и останалата част от ЕС, случаят подсилва идеята, че дори в строго одитирани и установени протоколи, Загубите могат да бъдат внезапни и необратими. ако се материализира провал в оперативната сигурност. Тази реалност е в съответствие с обичайните предупреждения от европейските финансови надзорници, които подчертават естеството на висок риск на крипто активи и DeFi платформи.
Хакване на код или човешка грешка? Истинският дебат за вектора
Един от въпросите, които предизвикаха най-много спорове, е точния характер на експлоатациятаВ ранните етапи няколко анализатори и компании за сигурност посочиха възможността компрометирани административни ключовеТова би позволило на нападателя да регистрира нови пазари, да променя лимитите за теглене или директно да се намесва в трезорите на Drift.
Някои доклади описваха сценарий, при който фалшив токен, т.нар. CarbonVote Token (CVT), придружен от минимален пул за ликвидност на платформи като Raydium. Чрез операции на измиване търговия В продължение на седмици нападателят е манипулирал историята на цените на този актив, докато той достигне изкуствена оценка от около $1, след което го е включил като обезпечение в Drift и е изтеглил реални активи, използвайки завишена гаранция само с няколкостотин долара реално покритие.
В този модел десетки операции биха били изпълнени само за 12 Minutosизпразвайки близо двадесет трезора на спот пазара в рамките на протокола, с тегления, включително десетки милиони в USDC, JLP и други токени. Фактът, че транзакциите са подписани от различни ключове Това е интерпретирано като знак за евентуално компрометиране на ключовата управленска инфраструктура или участието на някой с... достъп до множество оторизирани идентификационни данни.
Други, по-скорошни разследвания обаче показват, че в основата на атаката не е била толкова логическа уязвимост в договора – като например грешка в механизма за финансиране на безсрочни суапове – а по-скоро това, че злоупотреба с трайни еднократни изказвания в комбинация с човешка грешка при одобряването на транзакциите. От тази гледна точка инцидентът попада в същата категория като други скорошни експлойти, базирани на социално инженерство y неизправности в оперативната безопасност, а не в дефекти в строгото програмиране.
Това разминаване в тълкуванията не променя резултата за потребителите, но има значение, когато става въпрос за проектират нови защитни съоръженияАко основният проблем е, че подписалите не са разполагали с адекватни инструменти или процедури, за да открият, че одобряват транзакции, обвързани с трайни еднократни номера (nonce), решението се крие в цялостен преглед на Потребителски опит с множество подписи, интерфейси за подписи и предупреждения за рискособено в среди с висока отговорност, като например съветите по сигурността на големи протоколи.
Сянката на Северна Корея: модели, сочещи към държавни групи
Случаят с Drift е заинтересувал не само предприемачи и търговци, но и фирми, специализирани в финансово разузнаванеАналитичната фирма Elliptic посочи, че експлойтът представлява множество показатели, съответстващи на типичните операции на хакерски групи, свързани с Корейската народнодемократична република (КНДР)Тоест, Северна Корея.
Сред подчертаните елементи са поведение на веригата, начинът на пране на пари и определени сигнали на мрежово ниво, всичко това в съответствие с други атаки, приписвани на групи като LazarusСпоред Elliptic, ако това авторство бъде потвърдено, ще се изправим пред осемнадесетият инцидент от този тип за годината свързани със севернокорейски актьори, с общ обем на откраднатите стоки, който вече би надхвърлил 300 милиона само през този период.
Предишни доклади от компании като Chainalysis вече документираха това Севернокорейски хакери През 2025 г. те постигнаха рекорд, близък до 2.000 милиарда долара откраднати крипто активис големи неуспехи, като например фалита на Bybit от 1.400 милиарда долара. Американските власти твърдят, че тези средства са частично предназначени за финансиране на програми за оръжия за масово унищожениеТова придава на тези инциденти допълнително геополитическо измерение.
В конкретния случай на Дрифт, Elliptic набляга на предварително планиранеТестови транзакции, предварително подготвени портфейли, използване на санкционирани миксери и крос-верижно свързване. Модулната структура на прането на пари – с консолидация, конвертиране и последователно разпределение – би се вписала в... повтаряем и професионален поток на избелване, по-типично за държавните участници, отколкото за изолираните нападатели.
За европейската регулаторна среда, където рамката MiCA се внедрява и изискванията се засилват предотвратяване на прането на пари (AML)Този тип операция подчертава необходимостта от възможности за многоканално проследяване и международно сътрудничество, както между компании, така и между надзорници от различни държави.
Архитектурата на акаунтите на Solana, в която всеки актив се държи в отделна токен сметка, добавя допълнителна сложност: без усъвършенствани инструменти група от субектиИзследователите рискуват да видят само „фрагменти“ от поведението на нападателя, без да могат да реконструират цялата карта на експозиция.
Какво беше запазено и какви поуки предлага това за потребителите и индустрията?
Въпреки че атаката беше опустошителна, не цялата екосистема, свързана с Drift, претърпя същата съдба. Самият екип по протокола изясни, че DSOL токени, които не са депозирани в Drift, включително активите, заложени за неговия валидатор, не бяха пряко засегнати. Част от застрахователни фондове Те също се оттеглиха и се прикриха, а протоколът беше замръзнал за предотвратяване на по-нататъшни щети.
В по-широк смисъл, инцидентът допълва нарастващия списък от скорошни експлойти, при които Не кодът се счупи.а по-скоро човешките и организационните слоеве: от компрометирани инфраструктури за подписи до измамни одобрения в системи с множество подписи. Тази промяна в точката на отказ налага преосмисляне на приоритетите в европейската и световната DeFi индустрия.
За потребителите в Испания и Европа, които работят на DeFi платформи, случаят Drift служи като напомняне за няколко основни практики: оценка на архитектурата на управлението на протоколите, в които се депозира капитал, прегледайте подробно мерки за попечителство и одити да се предположи, че дори реномирани проекти могат да бъдат замесени в инциденти от такъв мащаб. Освен това е препоръчително да се прегледат ръководствата за това как Инвестирайте безопасно в криптовалути преди депозиране на средства.
В същото време, епизодът подчертава важността на това да имаш доставчици на анализи, мониторинг в реално време и специализирано застрахованеТова зависи и от екипите по протоколи, които поддържат прозрачни и гъвкави комуникационни канали. Скоростта, с която се споделя информация, операциите се замразяват и блоковете се координират с емитентите на стейбълкойни и борсите, може да окаже решаващо влияние върху размера на средствата, които се възстановяват или поне блокират.
Като цяло, хакерската атака срещу Drift Protocol се е утвърдила като една от... Най-подходящите казуси за DeFi сигурност В последно време: то съчетава усъвършенствано използване на функционалностите на Solana, щателна подготовка от страна на нападателя, евентуално участие на държавни групи и реакция, която все още се анализира от разработчици, регулатори и анализатори в Европа и останалата част от света, с преки последици за това как ще бъдат проектирани бъдещите системи за управление и защита в децентрализираните финанси.
