Протокол Drift $285m хак раскрывает угрозу социальной инженерии для Solana DeFi

Drift Protocol, крупная DeFi-биржа на базе Solana, пострадала от эксплойта на 285 миллионов долларов, осуществлённого через социальную инженерию: злоумышленники использовали скомпрометированный ключ администратора, а не уязвимость в коде.

Сводка

• Drift Protocol перенёс эксплойт на 285 миллионов долларов 1 апреля, став одним из крупнейших DeFi-хаков в истории Solana; инцидент был вызван скомпрометированным ключом администратора, а не ошибкой в смарт-контракте.
• Председатель Solana Foundation Лили Лю (Lily Liu) и CPO Вибху Норби (Vibhu Norby) оба подтвердили через X, что вектор атаки был связан с социальной инженерией и провалами в операционной безопасности, а не с уязвимостями на уровне кода.
• SOL упал на 9% до внутридневного минимума $78.60 после взлома; Wormhole предупредила, что некоторые кроссчейн-транзакции в Solana могут столкнуться с задержками в результате инцидента.

Drift Protocol, децентрализованная биржа, работающая на Solana, потеряла примерно $285 миллионов в цифровых активах 1 апреля в результате атаки социальной инженерии, как считают исследователи безопасности: она была направлена на инфраструктуру ключа администрирования протокола, пишет Bloomberg. PeckShield Inc. стала одной из первых компаний, отметивших взлом; она установила, что значительная часть украденных средств была конвертирована в USDC, долларовый стейблкоин с привязкой, выпущенный Circle, на основе ончейн-данных. Атака развернулась примерно за 12 минут в рамках 31 транзакции, опустошив почти 20 хранилищ (vaults) и, среди прочих активов, обеспечив результат в виде 66.4 миллиона USDC, 42.7 миллиона JLP, 23.3 миллиона MOODENG, 5.6 миллиона USDT, 5.2 миллиона USDS, 2.6 миллиона JUP, 583,000 RAY и 477,000 WETH.

Блокчейн-данные показывают, что атакующий использовал скомпрометированный ключ администратора Drift, чтобы добавить CVT в качестве нового спот-рынка на платформе, и одновременно повысил лимиты вывода для USDC и ещё четырёх рынков до 500 триллионов, фактически обнулив внутренние механизмы безопасности протокола. Затем, используя фальшивый залог, атакующий смог беспрепятственно выводить средства из спот-хранилищ (vaults) Drift. Применение разных ключей подписи в рамках 31 транзакции указывает либо на компрометацию инфраструктуры управления ключами, либо на то, что были получены доступ к нескольким авторитетным ключам; это говорит о скоординированной, целевой операции, а не об «случайной» ошибке смарт-контракта.

Токен DRIFT упал примерно с $0.072 до $0.055 сразу после инцидента, поскольку пользователи поспешили вывести ликвидность, а протокол приостановил депозиты и выводы.

«Настоящая цель атаки — люди»

Лили Лю, председатель Solana Foundation, напрямую прокомментировала инцидент в X, заявив: «Инцидент Drift имеет далеко идущие последствия, затрагивающие всю экосистему. Команда Drift работает круглосуточно, чтобы расследовать и контролировать ситуацию, и мы делаем всё возможное, чтобы оказать поддержку. Сам смарт-контракт выдержал проверку. Настоящая цель атаки — “люди” — в большей степени связана с социальной инженерией и уязвимостями операционной безопасности, а не с эксплойтами на уровне кода».

Вибху Норби, Chief Product Officer Solana Foundation, подтвердил это в своём посте в X, написав, что инцидент «не вызван уязвимостью программы или смарт-контракта, а скорее связан с атаками, ориентированными на операционную безопасность, или с социальной инженерией». Норби добавил, что любой протокол, полагающийся на механизм мультиподписи на разных цепочках, теоретически может столкнуться с аналогичными рисками, и подчеркнул, что инцидент по безопасности Drift — это «изолированный случай» и он «не указывает на системную проблему в Solana DeFi или связанных продуктах».

Прояснение обоих официальных лиц было однозначным: это не сбой Solana, это человеческий фактор. Как ранее сообщало crypto.news, социальная инженерия стала доминирующим вектором атак в индустрии: фишинг, фальшивые предложения о работе и кампании по выдаче себя за другого теперь составляют большинство взломов на высокие суммы — паттерн, ускоренный Lazarus Group из Северной Кореи и другими структурами, связанными с государствами.

Последствия для рынка и эффект домино между цепочками

2 апреля SOL упал на 9% до внутридневного минимума $78.60, снизив рыночную капитализацию до $45.5 миллиарда, согласно данным crypto.news. За предыдущие семь дней SOL уже потерял более 10%, что стало самым сильным падением среди топ-10 криптовалют. Взлом на $285 миллионов является одним из крупнейших эксплойтов в экосистеме Solana за последние пять лет.

Ощутилось давление и на кроссчейн-инфраструктуру. Wormhole опубликовала в X подтверждение, что пользовательские активы её клиентов не находятся под риском и что функциональность моста остаётся работоспособной, но предупредила, что встроенные механизмы безопасности Solana могут вызвать задержки в некоторых кроссчейн-переводах. Основные вкладчики Wormhole заявили, что они находятся в активной коммуникации с широкой Solana-экосистемой, чтобы обеспечить

Drift Protocol пострадал от социально-инженерной атаки на $285m в Solana

• Drift Protocol потерял $285 миллионов в одном из крупнейших DeFi-эксплойтов в истории Solana, причём атака была выполнена через скомпрометированный ключ администратора, а не из-за уязвимости смарт-контракта.
• Руководство Solana Foundation подтвердило, что взлом был вызван проблемами социальной инженерии и операционной безопасности; при этом они подчеркнули, что базовый код Solana и смарт-контракты остались нетронутыми.
• После инцидента SOL упал почти на 9% до внутридневного минимума $78.60, снизив рыночную капитализацию до $45.5 миллиарда.

Drift Protocol, децентрализованная биржа на базе Solana, потерял примерно $285 миллионов в цифровых активах 1 апреля после того, как атакующий использовал скомпрометированный ключ администратора для того, чтобы вывести средства почти из 20 хранилищ протокола менее чем за 12 минут, сообщает Bloomberg. Этот взлом входит в число крупнейших DeFi-хаков в истории Solana и спровоцировал резкую распродажу в SOL: токен упал на 9% до $78.60 в тот же день.

PeckShield была среди первых блокчейн-компаний по безопасности, которые сообщили о случившемся, оценив суммарные потери примерно в $285 миллионов. Позже ончейн-данные показали, что было выполнено 31 транзакция примерно за 12 минут. Атакующий вывел 66.4 миллиона USDC, 42.7 миллиона JLP, 23.3 миллиона MOODENG, 5.6 миллиона USDT, 5.2 миллиона USDS, 2.6 миллиона JUP, 583,000 RAY и 477,000 WETH. Часть токенов JLP была сожжена, а оставшиеся активы в основном были конвертированы в SOL и распределены по нескольким кошелькам.

Вектор атаки не был связан с уязвимостью в смарт-контрактах протокола. Вместо этого использовался скомпрометированный ключ администратора Drift, чтобы добавить новый спот-рынок и поднять лимиты вывода по USDC и ещё четырём рынкам до 500 триллионов — фактически отключив механизмы безопасности платформы и позволив атакующему использовать фальшивый залог для опустошения хранилищ.

Solana защищает свою инфраструктуру

Лили Лю, председатель Solana Foundation, обратилась к инциденту в X, заявив: «Инцидент Drift имеет далеко идущие эффекты, влияя на всю экосистему. Команда Drift работает круглосуточно, чтобы расследовать и контролировать ситуацию, и мы делаем всё возможное, чтобы оказать поддержку. Сам смарт-контракт выдержал проверку. Настоящая цель атаки — “люди” — в большей степени связана с социальной инженерией и уязвимостями операционной безопасности, а не с эксплойтами на уровне кода».

Вибху Норби, Chief Product Officer Solana Foundation, повторил эту оценку в своём посте в X, написав, что инцидент «не вызван уязвимостью программы или смарт-контракта, но скорее связан с атаками на операционную безопасность или с социальной инженерией». Он также был аккуратен, добавив контекст: «любой протокол, полагающийся на механизм мультиподписи на разных цепочках, может столкнуться с похожими рисками», и назвав инцидент по безопасности Drift «изолированным случаем», который не указывает на системные проблемы внутри Solana DeFi.

Эффекты Ripple между цепочками

Кроссчейн-мост Wormhole также подтвердил в X, что активы пользователей не находятся под риском, и что функциональность моста остаётся работоспособной. Однако протокол предупредил, что некоторые кроссчейн-переводы в Solana могут столкнуться с задержками из-за встроенных механизмов безопасности, которые срабатывают из-за этого инцидента. Wormhole сообщила, что её ключевые участники находятся в активной коммуникации с командой экосистемы Solana.

Атака происходит на фоне более широкой ситуации с ростом угроз социальной инженерии в крипто. Как сообщало crypto.news в январе, большинство крупных взломов сейчас связаны с фишингом, выдачей себя за другого и отказами в операционном доступе, а не с поломанным кодом — и этот паттерн подкрепляет инцидент Drift. Всего несколькими неделями ранее платформа мемкоинов на базе Solana Bonk.fun была скомпрометирована аналогично через захват домена, который развернул вредоносный drainer-кошелёк, что привело к потерям пользователей на сумму, превышающую $273,000.

Токен DRIFT, который уже потерял более 86% своей стоимости за предыдущий год, резко упал примерно с $0.072 до $0.055 на фоне хаоса. Ранее протокол привлёк $25 миллионов в раунде Series B под руководством Multicoin Capital, доведя общий объём финансирования до более чем $52.3 миллиона, сообщает crypto.news. На момент взлома его общий объём средств, заблокированных в протоколе (TVL), составлял сотни миллионов долларов, что делало его одной из наиболее значимых DeFi-платформ в Solana.

Solana Foundation заявила, что сообщество будет продолжать получать обновления по мере завершения расследования, и отметила, что, как ожидается, для более широкой индустрии, когда станет известна полная картина, проявятся важные уроки в области операционной безопасности.