#DriftProtocolHacked

Drift Protocol, один із найбільших децентралізованих бірж перпетуїтів та спотових торгів, побудованих на блокчейні Solana, зазнав однієї з найруйнівніших експлойтів у історії DeFi 1 квітня 2026 року. Команда підтвердила, що інцидент, за їхніми словами, «не є жартом на 1 квітня». До моменту, коли пил почав осідати, оцінки загальних збитків коливалися від $200 мільйонів до $285 мільйонів, що робить його найбільшим крипто-хакінгом 2026 року на даний момент і найшкідливішою атакою на DeFi на базі Solana з часів експлойту мосту Wormhole у 2022 році.

Перший ознака проблем з’явився близько 18:10 GMT, коли команда Drift повідомила про незвичайну активність у мережі та попередила користувачів не вносити кошти. Менше ніж за годину, приблизно о 18:58 GMT, команда підтвердила, що активна атака вже триває, одразу призупинила всі депозити та зняття по всій платформі і почала координувати екстрений реагування з фірмами з безпеки блокчейну, мостами та централізованими біржами з метою замороження або відслідковування вкрадених активів.

Механізм атаки був складним, багатоступінчастим і ретельно спланованим. На мережі слідчі виявили, що зловмисник тестував експлойт щонайменше вісім днів до фактичного удару, що свідчить про тривалий період підготовки та розвідки. Основою атаки стали зламані адміністративні ключі Drift. Чи були ці приватні ключі витеклими, чи результатом компрометації мультипідпису з кількома підписантами, залишається під слідством, але результат був однаковим: зловмисник отримав адміністративний контроль над критичними параметрами протоколу.

Маючи доступ адміністратора, зловмисник виконав наступну послідовність дій. Спершу він створив фальшивий токен під назвою CarbonVote Token, скорочено CVT, і створив фейковий пул ліквідності для нього на Raydium. За допомогою «миттєвого» трейдингу він штучно завищив видиму ціну CVT, щоб оракул протоколу зафіксував його як легітимний актив високої вартості. По-друге, використовуючи зламані привілеї адміністратора, він додав CVT до списку прийнятих застав у спотовому ринку Drift. Також він використав ці права для відключення захистів зняття коштів і підвищення ліміту позики USDC з стандартного обмеження $25 мільйонів до $500 мільйонів. Третє, озброєний величезною кількістю фальшивого CVT застави, яку протокол тепер визнавав справжньою, він депонув її і почав позичати та виводити реальні активи з основного пулу кредитування та сейфів Drift. Це було зроблено через приблизно 31 транзакцію у мережі з використанням функцій протоколу, таких як initializeSpotMarket та updateSpotMarketStatus. Загалом, операція виведення тривала близько 12 хвилин від початку до завершення.

Затронуті сейфи включали JLP Delta Neutral, SOL Super Staking і BTC Super Staking, серед інших. Згідно з даними, вкрадені активи включали приблизно 155,6 мільйонів доларів у токенах JLP, 60,4 мільйонів доларів у USDC та додаткові суми у SOL, JitoSOL, cbBTC і WETH. Загальні збитки становили приблизно 50 відсотків від загальної заблокованої вартості Drift, яка до атаки становила близько $540 мільйонів.

Зловмисник не зупинився після виведення активів із сейфів. Кошти швидко обмінювалися через Jupiter, провідний агрегатор ліквідності Solana. Частина була переадресована через гаманець Backpack, який може зберігати KYC-записи, що дослідники відзначили як потенційний слід. Активи були перенесені з Solana до Ethereum, конвертовані у ETH і відмивані через платформи, такі як Hyperliquid і Monero. За останніми даними, зловмисник тримав приблизно 19 913 ETH, оцінених приблизно у $42 мільйонів доларів, з яких понад $82 мільйонів вже вважаються відмитими на момент написання.

Реакція ринку була миттєвою і суворою. Токен DRIFT впав на 25-50 відсотків протягом кількох годин після поширення новин. TVL Drift, яка становила близько 311,93 мільйонів доларів на DeFiLlama на момент інциденту, обвалився. Кілька інших протоколів із експозицією до Drift, включаючи Ranger Finance, Reflect Money, Elemental DeFi і Project0, призупинили свою діяльність як запобіжний захід через взаємозалежний ризик. Інцидент тимчасово зробив Drift Protocol найпопулярнішим токеном на CoinGecko, оскільки трейдери та дослідники поспішали оцінити свою експозицію.

На 2 квітня 2026 року команда Drift ще не опублікувала офіційний звіт або підтвердила точну суму збитків. Фірми з безпеки давали різні оцінки: CertiK оцінив збитки приблизно у $136 мільйонів, тоді як Arkham Intelligence відстежила близько $285 мільйонів у вкрадених активів. Різниця, ймовірно, зумовлена різними методологіями підрахунку активів на момент крадіжки та після ліквідації.

Для всіх, хто мав будь-який контакт із Drift Protocol, першочерговим завданням є відкликання всіх дозволів і прав доступу до токенів, пов’язаних із протоколом. Користувачам рекомендується перевірити свої дозволи у гаманцях за допомогою сканера Jup Portfolio або аналогічних інструментів. Ті, хто зберігав активи у постраждалих сейфах, повинні задокументувати свої позиції та стежити за офіційними повідомленнями Drift щодо будь-яких планів відновлення або компенсації.

Ця подія є яскравим нагадуванням про системний ризик, який створює витік адміністративних ключів для протоколів DeFi. Навіть найретельно перевірені, випробувані платформи мають вразливість централізації, коли права адміністратора існують без належних багатопартійних контролів із блокуванням за часом. Експлойт Drift не був помилкою смарт-контракту у традиційному розумінні. Це була несправність контролю доступу, яка дозволила одному зловмиснику односторонньо переписати правила протоколу під час сесії. Поки не буде оприлюднено повного звіту та не буде встановлено ланцюг збереження зламаних ключів, картина залишається неповною.

Ситуація все ще розвивається. Відновлення є під питанням.