Децентрализованная биржа Drift Protocol, работающая в экосистеме Solana, подтвердила масштабный инцидент безопасности: 1 апреля 2026 года с платформы было выведено около 285 млн долларов. Этот случай уже называют одной из наиболее сложных и показательных атак на инфраструктуру DeFi, где ключевым фактором стали не ошибки в коде, а человеческий фактор и архитектура управления протоколом.
Как был реализован взлом DeFi-платформы Drift на Solana
По данным команды Drift, злоумышленник получил несанкционированный доступ к административным правам протокола через ранее не применявшуюся схему атаки с использованием механизма durable nonce в сети Solana. Этот механизм позволяет заранее подписывать транзакции и исполнять их позже, избегая истечения срока действия подписи.
Атакующий смог добиться того, чтобы ряд транзакций был одобрен и подписан заранее держателями мультиподписей (multisig), но их истинное назначение было скрыто. Когда условия стали благоприятны, эти транзакции были быстро исполнены, что привело к захвату полномочий Совета безопасности (Security Council) и передаче админских прав злоумышленнику всего за несколько минут.
Команда Drift отдельно подчёркивает, что атака не была связана с уязвимостью смарт-контрактов или программ Solana, а также нет признаков компрометации seed-фраз. Критическим звеном стали «неавторизованные или искажённо представленные одобрения транзакций», полученные до исполнения, что указывает на продвинутую социальную инженерию и злоупотребление доверием к процедурам мультиподписей.
Durable nonce, мультиподпись и фиктивный токен: анатомия атаки
Захват протокольных прав и обход ограничений вывода
Собрав достаточное количество подписей в мультисиге, атакующий инициировал злонамеренную передачу админских прав. Получив контроль над протокольными настройками, он смог убрать лимиты на вывод средств и внедрить в систему новый актив, не предусмотренный изначальной конфигурацией.
По данным TRM Labs, злоумышленник создал полностью фиктивный токен CarbonVote Token, снабдив его несколькими тысячами долларов ликвидности и имитацией торговой активности (wash trading). Несмотря на реальную ничтожную стоимость, оракулы Drift стали трактовать этот токен как высоколиквидный актив с капитализацией в сотни миллионов долларов, что позволило использовать его как переоценённое обеспечение и вывести настоящие средства пользователей.
TRM Labs отмечает, что контракт CarbonVote Token был развернут в 09:30 по времени Пхеньяна, что стало одним из косвенных индикаторов возможного происхождения атаки.
Подготовка атаки и координация расследования
По внутренней временной шкале Drift, подготовка к взлому началась не позднее 23 марта 2026 года. Команда заявила, что работает совместно с несколькими специализированными фирмами в области кибербезопасности, мостами, централизованными биржами и правоохранительными органами, чтобы отслеживать и блокировать украденные активы.
Северокорейский след: выводы TRM Labs и Elliptic
Аналитики TRM Labs и Elliptic в отдельных отчётах указывают, что on-chain-поведение и последующая отмывка средств совпадают с типичными паттернами северокорейских криптовалютных группировок, связанных с КНДР (DPRK).
Среди ключевых признаков: использование миксера Tornado Cash на раннем этапе, характерные паттерны кросс-чейн мостов, высокая скорость и масштаб обналичивания — всё это ранее неоднократно наблюдалось в атаках, приписываемых северокорейским хакерам, включая крупнейший взлом Bybit в 2025 году, когда было похищено около 1,46 млрд долларов из общего рекордного объёма ~2 млрд долларов за год.
По данным Elliptic, если участие DPRK подтвердится, инцидент с Drift станет уже восемнадцатой за год операцией, связанной с северокорейскими группами, а общий ущерб по таким кейсам в 2026 году уже превышает 300 млн долларов. В совокупности за последние годы DPRK-акторы, по оценкам аналитиков, похитили свыше 6,5 млрд долларов в криптоактивах.
Социальная инженерия и кампании DangerousPassword и Contagious Interview
Основной «входной точкой» для подобных взломов остаётся социальная инженерия: создание правдоподобных легенд, фейковых личностей и рабочих предложений для сотрудников криптокомпаний и Web3-проектов. К этому направлению относят кампании DangerousPassword (также известную как CageyChameleon, CryptoMimic, CryptoCore) и Contagious Interview.
По состоянию на конец февраля 2026 года совокупная прибыль только этих двух кампаний оценивается примерно в 37,5 млн долларов. Эксперты Elliptic подчёркивают, что активность DPRK в сфере криптокраж — это «не серия разрозненных инцидентов, а устойчиво финансируемая и масштабируемая кампания», которую власти США напрямую связывают с финансированием оружейных программ КНДР.
Связь с цепочными атаками: кейс Axios и группа UNC1069
На фоне взлома Drift специалисты также указывают на компрометацию цепочки поставок популярного npm-пакета Axios. Ряд вендоров (Google, Microsoft, CrowdStrike, Sophos) приписывают эту операцию северокорейской группе UNC1069, пересекающейся с известными кластерами BlueNoroff, CryptoCore, Nickel Gladstone, Sapphire Sleet и Stardust Chollima.
Sophos сообщает, что артефакты атак на Axios содержат идентичные форензические метаданные и схожие цепочки командно‑контрольной инфраструктуры (C2), а также связь с вредоносным ПО, ранее использовавшимся исключительно группой Nickel Gladstone. Это усиливает версию о единых государственно спонсируемых операциях, нацеленных на генерацию доходов для режима КНДР.
История со взломом Drift демонстрирует, что для криптопроектов и DeFi-платформ критично не только качество кода, но и безопасность процессов управления: мультиподподписи, Советы безопасности, процедуры выдачи прав и работы с оракулами. Минимизировать риски помогут жёсткие политики для multisig (отдельные устройства и контуры для подписантов), строгая валидация любых изменений админских прав, отказ от нулевых timelock’ов, независимый мониторинг аномалий oracle-данных, а также постоянное обучение команд методам противодействия социальной инженерии. В условиях растущей вовлечённости государственно спонсируемых групп и применения ИИ для совершенствования атак каждый разработчик, контрибьютор и владелец ключей к инфраструктуре становится приоритетной целью и должен выстраивать личную и корпоративную киберзащиту исходя из этого допущения.
