Глибоке відтворення інциденту з крадіжкою на 285 мільйонів доларів Drift: Як управління DeFi має попрощатися з «саморобними командами»?

null

1 квітня 2026 року найбільша децентралізована біржа перпетуальних контрактів у екосистемі Solana — Drift Protocol — зазнала епічної катастрофи. За кілька хвилин було пограбовано криптоактивів на суму до 285 мільйонів доларів, що стало найбільшим за масштабом інцидентом у сфері DeFi цього року.

З розслідуванням даних у блокчейні та залученням спеціалізованих служб безпеки, ця підозріла атака, ймовірно, керована північнокорейською хакерською групою, поступово відкриває свою повну картину. Вражає те, що зруйнували цю оборону вартістю сотні мільйонів доларів у DeFi не якісь витончені нульові дні (0-day), а багатомісячна соціотехнічна операція, спрямована на людську слабкість.

Ця катастрофа — не лише найтемніший час для Drift, а й викриває нинішній стан галузі DeFi у питаннях управління та керування ключами, що нагадує «саморобний» підхід.

Заздалегідь спланована операція: як Drift поступово став жертвою?

Аналізуючи шлях атаки хакерів, можна побачити, що це була надзвичайно ретельно спланована та терпляча багатоканальна координація. Зловмисники ідеально використали сліпу довіру спільноти Web3 до принципу «код — закон» та недбалість щодо найслабшого ланцюга — людського фактора.

Перший крок: маскування під «маркет-мейкера»

Ще за півроку до інциденту зловмисники видавали себе за фінансово потужну квантову торгову компанію. Вони не лише пили чай із командою Drift на великих криптовалютних конференціях, а й реальністю вносили у протокол сотні тисяч доларів. Участю у тестуванні продукту, поданням високоякісних стратегічних пропозицій, хакери вдало проникли до внутрішніх чатів Drift, здобувши довіру.

Другий крок: закладка бомби з «стійкими випадковими числами»

Після здобуття довіри ключових учасників, зловмисники почали використовувати особливу механіку Solana — «стійкі випадкові числа (Durable Nonces)». Вона дозволяє підписувати транзакції заздалегідь і транслювати їх у будь-який час у майбутньому. За допомогою хитромудрих слів та імітації тестових запитів, вони спонукали членів безпекової ради Drift підписати кілька транзакцій «в сліпу (Blind Signing)». А справжнім їхнім Payload було передавання найвищого контролю над адміністраторським ключем.

Третій крок: фатальний мультипідпис 2/5 та нульовий таймлок

27 березня Drift провели фатальне оновлення управління: перенесли безпекову раду до нової системи мультипідпису 2/5 та видалили таймлок (Timelock). Це означає, що достатньо двох підписів для миттєвого виконання будь-якої зміни у логіці протоколу, навіть без реакції на зняття мережевого кабелю.

Четвертий крок: міраж «фальшивих» гаманців

1 квітня зловмисники одночасно активували всі розгорнуті схеми. Вони транслювали заздалегідь підготовлені інструкції для мультипідпису, миттєво отримуючи контроль над адміністративними правами протоколу. Потім, додавши фальшивий токен CVT (CarbonVote Token) до білого списку та максимально розширивши кредитний ліміт, вони за допомогою маніпуляцій з ціною через оракул, використовуючи «порожні» монети як заставу, легально «вкрали» з сейфу Drift 285 мільйонів доларів у USDC, SOL та ETH.

Законність підпису ≠ законність намірів: слабке місце безпеки DeFi

У випадку з Drift найгірше те, що у віртуальній машині блокчейна кожен крок зловмисника виглядає «законним». Вони не використовували переповнення буфера, не здійснювали повторних атак, а просто отримали легальні ключі адміністратора і безпосередньо увійшли до сейфу.

Це виявляє суттєві дисбаланси у сучасних протоколах DeFi щодо управління коштами: інструменти для розгортання сотень доларів використовуються для управління кількома мільярдами у державних казначействах.

Зараз більшість провідних протоколів DeFi все ще сильно залежать від традиційних мультипідписів на основі смарт-контрактів (наприклад, Safe або вбудовані мультипідписні механізми). Така архітектура має два критичних недоліки:

Нездатність протистояти соціотехнічним атакам: якщо зловмисник здобуде контроль над кількома ключовими особами через фішинг, шантаж або підкуп, оборона руйнується.

Відсутність перевірки намірів: мультипідпис підтверджує лише «хто підписав», але не перевіряє, чи не є підписані дії зломом або шахрайством.

Від технічних експериментів до фінансової інфраструктури: еволюція безпеки Web3

Досвід Drift із пограбуванням на 285 мільйонів доларів став дорогою наукою: у міру швидкої інтеграції Web3 із традиційними фінансами, протоколи DeFi мають відмовитися від ідеї управління через довірливих розробників і простих мультипідписів, і перейти до стандартів безпеки рівня інституцій.

Зараз провідні гравці галузі та експерти з безпеки погоджуються, що наступна ітерація безпеки інфраструктури DeFi має включати кілька ключових оновлень:

Покращення криптографічної основи: перехід до HSM (апаратних модулів безпеки)

На відміну від програмних мультипідписів, HSM зберігає приватні ключі у сертифікованих, військових рівнів чіпах, що не дозволяє їх витягти. Така фізична ізоляція та контроль безпеки радикально зменшує ризики внутрішніх соціотехнічних атак або проникнення зловмисників, забезпечуючи набагато вищий рівень захисту ключів у протоколах.

Впровадження «стратегії на основі намірів» (Policy Engine)

Майбутнє управління правами у DeFi не має зводитися лише до перевірки підписів. Необхідно вбудувати систему ризик-менеджменту, наприклад, автоматичне виявлення спроб змінити ліміт позик для невідомих токенів (як CVT у Drift), що може бути ознакою зловмисних намірів, і запускати механізми аварійного зупину, вимагаючи додаткових рівнів перевірки (мультифакторна аутентифікація, відео-верифікація, обов’язковий таймлок).

Підтримка незалежних служб з дотриманням регуляторних вимог

Зі зростанням TVL, розробники протоколів мають зосередитися на логіці коду та інноваціях у бізнесі, а контроль над сотнями мільйонів доларів — довірити професійним стороннім службам з дотриманням регуляторних стандартів. Як у традиційних фінансах, біржі не тримають активи користувачів у власних сейфах. Впровадження надійних, аудиторських, інституційних систем ризик-менеджменту — шлях до масового прийняття DeFi.

Як довгострокові гравці, наприклад Cactus Custody, що спеціалізуються на безпеці цифрових активів, наголошують: децентралізація у DeFi не повинна ставати виправданням для уникнення системних ризиків.

Інцидент з Drift може стати переломним моментом. Він оголосив про крах «саморобної» моделі управління та відкрив шлях до нової безпекової парадигми, орієнтованої на апаратне забезпечення, перевірку намірів і професійний контроль. Лише зміцнивши цю лінію оборони, Web3 зможе справді стати платформою для трильйонних масштабів майбутнього.