Взлом Drift Protocol на $286 млн: причины атаки и движение средств

Drift Protocol — крупнейшая децентрализованная платформа для торговли фьючерсами на блокчейне Solana — подверглась серьезной атаке 1 апреля 2026 года.

По оценкам, общий ущерб составил около $286 млн. Поведение злоумышленников, способы сокрытия следов и технические признаки атаки совпадают с теми, что уже наблюдались в предыдущих операциях, связанных с Северной Кореей. GetBlock AML Research публикует все подробности атаки, которые известны на текущий момент.

Если версия о вмешательстве северокорейских хакеров подтвердится, это станет уже восемнадцатой подобной атакой, связанной с этой страной, за текущий год. Общая сумма украденных средств превысила $300 млн. В последние годы такие группы, по оценкам, похитили более $6,5 млрд в криптовалюте. Власти США считают, что эти средства могут использоваться для финансирования военных программ.

Этот инцидент происходит на фоне общего роста атак на крипторынок, связанных с Северной Кореей. Ранее также была зафиксирована атака через сторонний программный компонент (так называемая «атака на цепочку поставок»), что показывает системный подход к взлому инфраструктуры.

ФБР разоблачило международную криптосхему с фиктивной торговлей

Обвиняемые искусственно разгоняли цены и продавали активы с прибылью.

Читать дальше

Как произошел взлом Drift Protocol

Уже в течение первого часа злоумышленник начал массово выводить средства из системы. Практически вся ликвидность (то есть деньги пользователей, находящиеся в протоколе) была выведена через несколько хранилищ.

По предварительным данным, причиной стало получение доступа к закрытым ключам администратора. Это своего рода «главный пароль», который дает полный контроль над системой. Получив его, атакующий смог управлять средствами и изменять настройки платформы

Какие активы были украдены в ходе атаки

Атака была направлена на три основных хранилища:

• JLP Delta Neutral
• SOL Super Staking
• BTC Super Staking

Самая крупная операция — вывод около 41,7 миллиона токенов JLP на сумму примерно $155 млн.

Также были украдены другие активы: USDC, SOL, биткоин в различных формах и другие токены.

После атаки общий объем средств на платформе (TVL) резко упал — с примерно $550 млн до менее чем $250 млн. Это делает инцидент крупнейшим взломом в сфере DeFi в 2026 году и вторым по масштабу в экосистеме Solana после атаки на мост Wormhole в 2022 году.

Команда Drift подтвердила факт атаки и заявила, что временно остановила ввод и вывод средств. Также сообщается, что они работают с другими компаниями, чтобы ограничить последствия.

Куда вывели средства после взлома

Анализ показывает, что кошелек злоумышленника был создан примерно за 8 дней до атаки. За это время он провел тестовую операцию, что говорит о заранее спланированной атаке.

Схема отмывания украденных у Drift Protocol средств. Визуализация: Elliptic

После кражи средств злоумышленник быстро обменял токены на более стабильную валюту (USDC) через специальные сервисы обмена. Затем деньги были переведены в другую блокчейн-сеть (Ethereum), где они были конвертированы в ETH. Это стандартная схема: украсть → быстро обменять → перевести → усложнить отслеживание.

Почему такие атаки опасны для крипторынка

Смысл этой атаки — не просто украсть деньги, а показать, что даже крупные и популярные платформы могут быть взломаны через ключевые точки управления.

Главная проблема — доступ к «ключам администратора». Если такие ключи украдены, злоумышленник получает полный контроль над системой, как если бы это был ее владелец.

Это создает опасный прецедент:

• пользователи не могут быть уверены в безопасности своих средств;
• атаки становятся более профессиональными и заранее подготовленными;
• деньги могут использоваться не только для обогащения, но и для финансирования государственных программ.

Кроме того, такие атаки подрывают доверие ко всей криптоиндустрии и могут вызвать цепную реакцию — падение проектов, отток пользователей и усиление регулирования.