Використання експлойту Drift спричинило ончейн-активність для $280M краденого ETH після атаки на Solana–Ethereum

Після масштабної атаки на DeFi Drift Protocol розпочав прямий контакт із приводу дрейф-експлойту, поки слідчі відстежують кошти через кілька блокчейнів.

Drift спрямовує повідомлення хакерам у гаманці через ончейн

3 квітня Drift Protocol активізував свою реакцію на нещодавній злом, надіславши ончейн-повідомлення чотирьом гаманцям Ethereum, які містять основну частину викрадених активів. Згідно з даними блокчейна, ці адреси разом контролюють приблизно 129,000 ETH — пов’язані з тим, що стало одним із найбільших DeFi-експлойтів 2026 року.

Експлойт витягнув оцінно $270 мільйонів до $285 мільйонів із протоколу, суттєво порушивши умови для торгівлі та ліквідності. Однак тепер команда заявляє, що їй вдалося ідентифікувати ключових осіб, пов’язаних із інцидентом, і публічно закликає їх розпочати діалог, а не залишатися мовчазними.

Звернення було зроблено з відомої адреси, контрольованої Drift, яка передала стандартне повідомлення кожному з чотирьох цільових гаманців. Крім того, цей крок сигналізує, що протокол готовий розглянути узгоджені рішення — шлях, який використовували інші криптопроєкти під час попередніх масштабних крадіжок.

Повідомлення закликає до комунікації через чат Blockscan

Текст повідомлення був лаконічним. Drift повідомив власників гаманця, що він “готовий поговорити”, і попросив їх відповісти через чат Blockscan — інструмент поза ланцюгом, пов’язаний з адресами в Ethereum. Це відповідає попереднім випадкам, коли проєкти, що зазнали атаки, намагалися відкрити канал комунікації з хакерами.

Історично такі спроби давали неоднозначні результати. У деяких гучних зломах діалог призводив до часткового або навіть повного повернення активів — інколи під назвою домовленості “white-hat”. Втім, у інших ситуаціях нападники ігнорували повідомлення та продовжували пересувати кошти, залишаючи жертв із мінімальними шансами на відшкодування.

У цьому випадку команди з безпеки та постачальники ончейн-аналітики також перевіряють, чи демонструють крадіжка та подальші перекази шаблони, характерні для організованої кіберзлочинності. Однак будь-яке можливе встановлення причетності наразі не підтверджене, і на даний момент фокус — на відстеженні потоків та збереженні доказів.

Як атака обійшла смартконтракти

Дрейф-експлойт вирізняється тим, що він не покладався на традиційну вразливість смартконтракту. Натомість він використав системну слабкість навколо Solana durable nonces — легітимної функції, яка дозволяє розробникам заздалегідь готувати та підписувати транзакції для подальшого подання.

Зловмисник використав заздалегідь підписані транзакції, створені ще за тижні, а потім зумів отримати частковий контроль над налаштуванням мультисигнального управління протоколом. За допомогою цього впливу він вимкнув або обійшов кілька контрольних механізмів ризику, призначених для захисту коштів користувачів. Унаслідок цього, щойно запобіжники було послаблено, хакер зміг швидко вивести капітал із декількох сейфів один за одним.

Уся операція розгорталася стрімко, спричинивши втрату більш ніж половини загальної заблокованої вартості Drift Protocol. Більше того, подія підкреслює, наскільки дизайн управління та керування ключами можуть бути такими ж критичними, як і код контрактів, у захисті DeFi-платформ.

Кросчейн-перекази та концентрація викраденого ETH

Після спорожнення сейфів нападник не залишив активи на Solana. Натомість він використав кросчейн-інфраструктуру, щоб перевести кошти на Ethereum, конвертувавши значну частку в ETH. Ончейн-дані, які висвітлили аналітичні фірми на кшталт Arkham, показують, що приблизно 129,000 ETH тепер розподілено між чотирма ключовими гаманцями.

Цей шаблон відповідає ширшій тенденції, за якої атакувальники використовують перехідні (bridged) кросчейн-кошти, щоб ускладнити відстеження та відновлення. Однак такі дії також створюють дуже помітні концентрації вартості, за якими можна спостерігати в реальному часі через біржі, правоохоронні органи та незалежних дослідників.

Попри активний моніторинг, деякі члени спільноти критикують те, що вони сприймають як повільну операційну реакцію. Зокрема, користувачі ставили питання, чому певні токени або позиції не були заморожені раніше або не були більш агресивно застраховані, щойно було виявлено аномальну активність в управлінні.

Підозри на організовану злочинність та триваюче розслідування

Кілька оглядачів галузі припускали можливі зв’язки між нападником і відомими організаціями, що займаються кіберзлочинами, особливо з огляду на складність захоплення управління та планування транзакцій. Водночас публічні заяви від Drift та зовнішніх команд з безпеки підкреслюють, що наразі немає однозначного встановлення причетності.

За повідомленнями, правоохоронні органи та приватні групи реагування на інциденти координуються, щоб відстежити “он-чейн” ланцюжок повідомлень і потоки викраденого ETH. Крім того, слідчі досліджують історичну активність на постраждалих гаманцях, щоб перевірити, чи пов’язують старі транзакції раніше позначені сутності.

Поки що Drift зобов’язався оприлюднити більше інформації після завершення сторонніх аудитів і судово-аналітичних розслідувань. Соціальні канали протоколу, зокрема його офіційний акаунт X, використовувалися для агрегації оновлень і посилань на ключові ончейн-транзакції для спільноти.

Вплив на Drift, токен DRIFT і ліквідність у DeFi

Наслідки виходять за межі негайних втрат протоколу. Нещодавні дані свідчать, що майже 20 взаємопов’язаних проєктів DeFi зазнали “ефекту доміно” від інциденту. Деякі протоколи тимчасово зупиняли послуги або обмежували певні операції, щоб запобігти потенційному зараженню та керувати впливом на ліквідність у defi.

Власний токен DRIFT різко відреагував, зафіксувавши стрімке падіння, коли новини про експлойт і компрометацію управління поширилися. На впевненість у використанні важеля та деривативних продуктах на Solana також вплинув удар — це відображає ширші переоцінки ризиків як професійними, так і роздрібними трейдерами.

Втім, важливо зазначити, що базовий рівень Solana продовжує працювати нормально. Злам стався на рівні застосунку та управління, а не через збій консенсусу або протоколу. Ця різниця має значення для довгострокового сприйняття екосистеми, а також для інвесторів, які оцінюють ризик смартконтрактів.

Уроки для управління та безпекового дизайну

Атака показує, як навіть добре перевірений код може бути підірваний слабкостями в структурах управління, обміні ключами та операційних процесах. У цьому випадку частковий компроміс мультисигнального управління дав нападнику змогу перетворити на “зброю” раніше підписані транзакції та легітимні функції протоколу.

Фахівці з безпеки стверджують, що більш надійні політики ротації ключів, жорсткіші механізми контролю доступу та моніторинг дій управління в реальному часі могли б обмежити масштаб шкоди. Крім того, чіткіші “плейбуки” реагування на інциденти та автоматизовані запобіжні вимикачі могли б допомогти протоколам реагувати швидше, коли стаються ненормальні зміни в дозволах або поведінці сейфів.

Поки триває розслідування експлойту Drift Protocol, ця справа, ймовірно, стане точкою відліку для фреймворків оцінки ризиків і сек’юріті-оглядів у всьому DeFi. Підсумовуючи, інцидент підкреслює, що самі лише аудити коду — недостатні; стійке управління, керування ключами та кросчейн-моніторинг є критично важливими, щоб запобігти подібним масштабним втратам.