1 апреля Drift Protocol, одна из крупнейших децентрализованных платформ для торговли бессрочными контрактами и на сегодняшний день крупнейшая биржа такого типа в сети Solana, стала жертвой крайне дерзкой хакерской атаки, в результате которой из протокола было выведено около $285 млн в различных криптовалютах.
Это крупнейшая атака на сектор децентрализованных финансов в 2026 году и один из самых серьезных инцидентов за всю историю блокчейна. Согласно выводам следователей и отчетам руководителей самого Drift Protocol, смарт-контракты и здесь не подвели. Оперативная база, процедуры и доверие к людям, которые потратили многие месяцы на создание своего авторитета, потерпели неудачу только для того, чтобы в конце концов нанести удар пресловутому дракону в сердце и украсть все содержимое его тщательно заполненной сокровищницы.
Они вывели 1 миллиард злотых из Drift Protocol. Все началось с рукопожатия
Но шаг за шагом. Drift Protocol — это проект, работающий в области децентрализованных финансов, то есть типичных финансовых услуг, предоставляемых на блокчейне без участия классического посредника, такого как банки и брокерские дома. В рамках этого решения пользователи могут торговать производными криптовалютами, вносить залог, брать кредиты, инвестировать средства и использовать различные стратегии сбережений и инвестиций. До атаки стоимость заблокированных в протоколе средств составляла примерно 550 миллионов долларов США.
Полученные на данный момент результаты показывают, что злоумышленники не проникли в систему через лазейку в коде или случайно раскрытый пароль (пока это кошмар для многих проектов DeFi, ставших жертвами хакерских атак). Согласно опубликованному сегодня патологоанатомическому диагнозу, к операции готовились многие месяцы. Люди, стоящие за атакой, встретились с создателями платформы на большой конференции по блокчейну и криптовалютам (подробности отсутствуют), выдавали себя за надежных участников рынка с обширными знаниями в области бизнеса и программирования, поддерживали контакты с людьми, связанными с проектом, в течение многих месяцев, вели долгие, изнурительные разговоры о потенциальных стратегиях и сотрудничестве и даже внесли огромные суммы денег (около миллиона долларов в стейблкоинах) только для того, чтобы создать иллюзию серьезного партнера. Другими словами: сначала у жертвы была усыплена бдительность, а затем был нанесен смертельный удар.
Будьте осторожны с тем, что ваши «партнеры» пытаются убедить вас сделать.
Ключевым элементом всей операции было получение доступа к устройствам людей, имевших контакт с административными процессами, и ключам, необходимым для управления протоколом. Им хватило двух. Они получили их, предоставив разработчикам Drift «инструмент для совместной работы» — хранилище скопированного кода, которое при открытии в редакторе VSCode автоматически запускало вредоносный файл конфигурации — без какого-либо дополнительного пользовательского ввода. Второй ключевой программист, в свою очередь, якобы установил фейковое мобильное приложение.
Так называемый механизм также сыграл важную роль. устойчивый одноразовый номер в сети Solana. Проще говоря, он позволяет подготовить транзакцию так, чтобы ее можно было выполнить позже, без риска того, что она станет недействительной с течением времени. Это полезный инструмент, но в чужих руках он может стать воротами для серьезных злоупотреблений. В этом случае злоумышленники использовали ранее подписанные согласия или готовили административные операции, которые выглядели рутинными, а затем использовали их в другой момент, когда уже контролировали соответствующие элементы процесса. Благодаря этому они взяли на себя разрешения, необходимые для внесения изменений в безопасность протокола.
Смотрите также, как криптодетектив ZachXBT критикует эмитента стейблкоинов USDC за «помощь мошенникам»:
USDC под огнем! Криптодетектив попал в Circle
Их также раскритиковали за ленивость во взломе Drift Protocol:
Хакер в течение нескольких часов похищал криптовалюты с известной платформы. Никто не отреагировал
Операцию провели с хирургической точностью.
Сама атака была очень быстрой. Согласно онлайн-анализу того рокового дня, ключевая фаза операции длилась всего около дюжины минут. Злоумышленники взяли под свой контроль административные механизмы, добавили к платформе специально разработанную меру безопасности (обеспечение), отключили или обошли некоторые ограничения и опустошили основные хранилища протоколов. Затем средства агрессивно и быстро обменивались и переводились между различными сетями блокчейнов, что очень затрудняло их отслеживание и, возможно, замораживание.
Обнаружив инцидент, Drift прекратил ввод и вывод средств и начал связываться с различными владельцами криптовалютных мостов, бирж и всех проектов, которые были причастны к попыткам отмывания денег. Также были попытки связаться с злоумышленниками через сообщения, сохраненные непосредственно в блокчейне, с предложением вознаграждения за возврат украденных средств. Проблема в том, что как только средствам удастся покинуть проект и начать смешиваться между различными активами и сетями, возврат всей суммы станет маловероятным.
Это работа профессионалов
Аналитики TRM Labs и Elliptic подозревают, что за операцией стоят структуры, связанные с Северной Кореей. Модели действий, уже хорошо известные онлайн-детективам, последовательны: методичная и тщательная подготовка ограбления, нацеленность на людей и процедуры, а не на сам код, быстрое отмывание украденных средств и метод перемещения активов после атаки. Однако на данном этапе следует говорить об аналитической атрибуции, а не о юридически подтвержденной ответственности.
Однако случай показывает определенное изменение характера угроз в мире криптоактивов. В течение многих лет самые известные взломы были связаны с ошибками в смарт-контрактах, неправильной логикой протоколов или пробелами в мостах между блокчейнами. Здесь центр тяжести сместился в сторону социальной инженерии и оперативной безопасности. Другими словами: даже хорошо написанного кода недостаточно, если люди, имеющие доступ к критическим разрешениям, работают на незащищенных устройствах, подписывают транзакции без полного контроля за их последствиями или совмещают среду разработки с инструментами управления реальными средствами.
Выводы
Расследование по этому делу еще не завершено, и некоторые технические детали, вероятно, изменятся. Однако уже известно, что случай с Drift Protocol надолго запомнится как символический для всей отрасли. Не потому, что из протокола исчезли сотни миллионов долларов, а потому, что столь крупная и эффектная кража была осуществлена методом, старым как время – наращиванием капитала доверия и предательством с последствиями.
Вы можете безопасно покупать или продавать криптовалюты в сети обменных пунктов FlyingAtom и биткойн-банкоматах.
