В начале апреля 2026 года Solana-протокол Drift Protocol стал жертвой масштабной атаки, в результате которой злоумышленники вывели около $285 млн всего за 12 минут. Как установила аналитическая фирма TRM Labs, уязвимость заключалась не в смарт-контрактах, а в недостатках управления: атакующие использовали социальную инженерию для получения одобрений мультиподписи, миграцию Совета безопасности с нулевой задержкой (zero-timelock) и поддельный залог CarbonVote Token для манипулирования ценами. DeFiLlama классифицировала инцидент как «Компрометация администратора + Манипуляция ценами фейковых токенов».
После подтверждения атаки Drift приостановил все депозиты и вывод средств. Большая часть украденных средств была быстро переведена через мост в сеть Ethereum. Предварительный анализ TRM Labs указывает на сходство методов отмывания с техникой, ранее ассоциировавшейся с группами, связанными с КНДР, хотя правоохранительные органы официально эту версию не подтвердили.
Финансовые последствия оказались значительными. Токен DRIFT упал на 14.3% до $0.0486 при объёме торгов около $35.15 млн. Инцидент спровоцировал распродажу на рынке Solana, из-за чего цена SOL снизилась на 4-5%, в то время как общий рынок криптовалют оставался стабильным. Общая заблокированная стоимость (TVL) Drift Protocol рухнула до $232.01 млн. Индекс страха и жадности опустился до 9 пунктов, что соответствует зоне «экстремального страха».
Команда Drift Protocol перешла к активным действиям по возврату средств, начав прямое общение через блокчейн. Со своего Ethereum-адреса были отправлены сообщения в четыре кошелька, предположительно контролируемые злоумышленниками, с призывом выйти на связь через Blockscan chat для переговоров. Ситуацию осложнило появление сообщения от неизвестного отправителя с ENS-именем readnow.eth, который заявил, что знает личность атакующего, и потребовал 1000 ETH за молчание.
Эффект от взлома распространился на всю экосистему Solana. По данным отчётов, под удар попали около 20 протоколов. Например, платформа Gauntlet оценила свои потери примерно в $6.4 млн. Компания по кибербезопасности Cyvers сообщила, что в течение 48 часов после инцидента средства возвращены не были, и предположила, что атака была тщательно спланирована за несколько недель с использованием durable nonces для предварительной подписи транзакций.
Этот случай высветил системные риски, присущие децентрализованным финансовым системам: уязвимости в управлении, взаимосвязанность протоколов и сложности координации при реагировании на инциденты. В отличие от багов в коде, которые можно исправить, компрометация механизмов управления указывает на структурные слабости в настройке полномочий мультиподписи, временных задержек для административных действий и валидации залога.
