Drift Protocol раскрывает атаку с использованием nonce, приведшую к краху на $280 млн

Drift Protocol подтвердил серьезное нарушение безопасности, которое привело к потере около $280 миллионов. Инцидент произошел 1 апреля 2026 года, когда команда впервые заметила необычную активность на платформе. Сначала протокол предупредил пользователей о том, чтобы они не вносили средства. 

Drift Protocol подвергается активной атаке. Внесение и вывод средств приостановлены. Мы координируем действия с несколькими компаниями по безопасности, мостами и биржами, чтобы ограничить инцидент. Это не шутка к дню дурака. Мы предоставим дополнительные обновления с этого аккаунта, как… https://t.co/03SRPq4fHj

— Drift (@DriftProtocol) 1 апреля 2026

Вскоре после этого было подтверждено, что происходит активная атака. Внесение и вывод средств были быстро приостановлены, чтобы ограничить дальнейший ущерб. Первые данные из блокчейна показали, что значительная сумма средств была выведена в течение нескольких минут. Масштаб инцидента вызвал опасения в более широкой экосистеме DeFi Solana.

Тщательно спланированная атака с использованием nonce

По словам команды Drift Protocol, это была не простая хакерская атака. Вместо этого злоумышленник осуществил хорошо спланированное нападение после нескольких недель подготовки. Злоумышленник использовал метод, связанный с аккаунтами «долговременного nonce». Эти функции позволяют пользователям подписывать транзакции заранее и выполнять их позже. Это помогло злоумышленнику отложить действия и нанести удар в нужный момент.

1 апреля: Фаза исполнения

Шаг 1: Легитимная тестовая транзакция

Drift выполнил тестовый вывод из страхового фонда:https://t.co/HhTkt4ddnI

Шаг 2: Захват администратора (~1 минута спустя)

Злоумышленник выполнил две предподписанные долговременные nonce транзакции (4 слота разницы):

– Создать…

— Drift (@DriftProtocol) 2 апреля 2026

Более того, злоумышленник получил доступ к управлению на уровне администратора. Это произошло после получения достаточного количества одобрений от системы мультиподписей. Сообщения показывают, что злоумышленник использовал 2 из 5 необходимых одобрений. Как только хакер получил контроль, он действовал быстро. Он изменил ключевые настройки и убрал ограничения на вывод средств. Это позволило ему быстро вывести средства.

Не найдено ошибок в смарт-контрактах

Команда Drift Protocol уточнила важную деталь. Атака с использованием nonce не произошла из-за ошибки в коде. Нет доказательств того, что злоумышленники взломали кошельки пользователей или семенные фразы. Вместо этого уязвимость возникла из-за того, как система обрабатывала одобрения.

Скорее всего, злоумышленник использовал социальную инженерию. Это означает, что он обманул или ввел в заблуждение людей, чтобы те одобрили вредоносные транзакции. Затем злоумышленник использовал эти одобрения позже через систему nonce. Проще говоря, сама система работала так, как задумано. Но злоумышленник нашел способ злоупотребить одобрениями и временем.

Пострадавшие средства и немедленный ответ

Влияние атаки с использованием nonce значительное. Средства из кредитования, хранилищ и торговых счетов были затронуты. Но не все активы были потеряны. Некоторые средства остаются в безопасности. К ним относятся активы вне протокола и те, что находятся в страховом фонде.

Все депозиты в заимствования/кредиты, депозиты в хранилищах и средства, внесенные для торговли, затронуты.

Не затронуты:
– DSOL, не внесенные в Drift (включая активы, ставленные на валидатор Drift)
– Активы страхового фонда, которые будут выведены из протокола для защиты

Как…

— Drift (@DriftProtocol) 2 апреля 2026

В качестве меры безопасности протокол заморозил большинство функций. Он также обновил свою настройку мультиподписей, чтобы убрать скомпрометированный доступ. В то время как команда Drift Protocol работает с компаниями по безопасности, биржами и правоохранительными органами, цель состоит в том, чтобы отследить и, возможно, вернуть украденные средства.

Что это значит для DeFi?

Этот инцидент показывает ключевой риск в DeFi. Даже если смарт-контракты безопасны, человеческие факторы могут создать слабые места. Системы мультиподписей предназначены для повышения безопасности. Но если одобрения обрабатываются неправильно, они могут стать целью.

Для пользователей это напоминание о необходимости быть осторожными. Это показывает необходимость более строгих мер безопасности вокруг одобрений и административных контролей для разработчиков. Команда Drift Protocol пообещала предоставить полный отчет в ближайшие дни. До тех пор внимание остается на контроле ущерба и расследовании. Атака с использованием nonce на Drift Protocol остается одним из крупнейших инцидентов DeFi 2026 года на данный момент. Более того, ее уроки могут повлиять на то, как протоколы будут обращаться с безопасностью в будущем.