Щойно я завершив аналіз повної ланцюгової події протоколу Drift, мушу сказати, що це, ймовірно, найвражаючий випадок безпеки DeFi, який я бачив цього року.

Подія сталася 1 квітня. Найбільша у екосистемі Solana біржа перпетуальних контрактів Drift за кілька десятків хвилин була виведена на суму 285 мільйонів доларів. Але це не складна уразливість смарт-контракту, а навпаки — виявилася смертельна слабкість, яку ми ігнорували — люди.

Найбільше мене цікавить метод атаки. Вони витратили цілих шість місяців на підготовку. Спершу вони маскувалися під велику кількість квантових торгових компаній, входили у екосистему Drift із реальними грошима, брали участь у різних криптофорумах, налагоджували стосунки з командою. Цей хакер у масці був досить професійним — це не просто фішинг, а шляхом надання високоякісних рекомендацій щодо тестування продуктів і стратегічних порад вони поступово отримали доступ до внутрішніх чатів.

Другий крок був ще хитрішим. Вони використали унікальний механізм Solana — "Durable Nonces" — цей дизайн спочатку створений для зручності підписання транзакцій офлайн, але їх використали як бомбу сповільненої дії. За допомогою підроблених тестових запитів вони спровокували членів комітету безпеки Drift на "сліпе підписання" (Blind Signing). Зовні звичайна транзакція, але фактичний payload — передача найвищих прав управління протоколом.

Далі ситуація швидко погіршилася. 27 березня Drift зробив так звану прогресивну оновлення управління: змінив склад комітету безпеки на схему 2/5 підписів. Але проблема в тому, що вони видалили тайм-лок. Це означає, що достатньо двох підписів — і будь-яка команда щодо зміни основної логіки протоколу буде виконана миттєво. Без будь-якого часу на реакцію.

До 1 квітня усі підготовчі дії були завершені. Атакаери одночасно активували раніше викрадені команди мультипідпису і миттєво отримали права адміністратора. Наступні дії були схожі на зняття коштів із власного гаманця — вони додали фальшивий токен CVT до білого списку, налаштували ліміт позик на максимум, маніпулювали ціною через оракул, використовуючи цінні токени як заставу, і легально "вивели" 285 мільйонів доларів USDC, SOL і ETH.

Найіронічніше тут — з точки зору блокчейну, кожен крок атаки був цілком легальним. Вони не використовували переповнення цілого числа або повторні атаки, а просто отримали справжні ключі адміністратора і за звичайною процедурою вивели кошти.

Це виявило головну проблему управління у DeFi: ми використовуємо рівень роздрібних мультипідписів для управління сотнями мільярдів доларів. Більшість провідних протоколів все ще покладаються на традиційні смарт-контрактні мультипідписи (наприклад, Safe), які мають два фундаментальні недоліки. По-перше, вони не захищені від соціальної інженерії — якщо зловмисник зможе взяти під контроль кількох ключових осіб, захист руйнується. По-друге, відсутня перевірка намірів — мультипідпис може підтвердити, що підпис зроблений цими особами, але не може визначити, що саме вони підписали і що це означає.

Я вважаю, що ця подія стала поворотним моментом у безпеці DeFi. Від технічних експериментів до справжньої фінансової інфраструктури — стандарти безпеки мають підвищитися. У галузі вже формується консенсус, і наступне покоління захисту DeFi має включати кілька напрямків:

По-перше, апгрейд апаратного рівня. Використовувати HSM (апаратний модуль безпеки) замість програмних мультипідписів — приватні ключі зберігати у військових крипточіпах, які неможливо витягти. Така фізична ізоляція і апаратний контроль здатні повністю усунути ризики внутрішніх соціальних інженерних атак і компрометації пристроїв.

По-друге, впровадження системи стратегічних двигунів на основі намірів. Майбутні системи управління у DeFi не повинні зупинятися лише на "перевірці підпису". Потрібно вбудувати логіку управління ризиками — наприклад, коли транзакція намагається змінити ліміт позик для невідомих токенів на безмежний, стратегічний двигун має автоматично виявляти аномальні наміри і запускати механізми переривання, що вимагають більш високого рівня перевірки (наприклад, багаторівневе ручне схвалення, відео-верифікація або обов’язковий тайм-лок).

По-третє, введення незалежних третіх сторін для зберігання активів. З ростом TVL розробники протоколів мають зосередитися на логіці коду і бізнес-інноваціях, передаючи контроль і захист сотень мільярдів доларів професійним кастодіанам із регуляторною сумісністю. Як і у традиційних фінансах, біржі не тримають активи користувачів у приватних сейфах власників. Впровадження аудитованих, з високим рівнем захисту від атак інституційних рівнів процесів — це неминучий шлях до широкого впровадження DeFi.

Цей викрадений 2.85 мільярдів доларів, можливо, стане найдорожчим уроком безпеки. Але з іншого боку, ця подія може стати критичною точкою у трансформації парадигми безпеки у DeFi — від розрізненого управління до апаратних архітектур, перевірки намірів і професійного кастодіанства. Лише посилюючи ці захисти, Web3 зможе справді витримати майбутні багат trillion-вартості.