1 апреля 2026 года оказалось не шуткой — и Drift Protocol сразу дал это понять, опубликовав в X сообщение, звучавшее особенно странно в этот день: "This is not an April Fools joke."
За двенадцать минут ведущая децентрализованная биржа бессрочных контрактов на Solana лишилась 285 миллионов долларов. Не из-за ошибки в коде. Из-за чего-то, что исправить куда сложнее.
Три недели подготовки, двенадцать минут на исполнение
Всё началось 11 марта с вывода 10 ETH через Tornado Cash — переброшенных около 9 утра по времени Пхеньяна. Это не случайная деталь. Эти средства пошли на создание CarbonVote Token (CVT) — полностью фиктивного токена, не имеющего никакой реальной ценности. В последующие недели атакующие методично готовились: минимальная ликвидность на Raydium, систематический wash trading, цена искусственно удерживалась около $1. Оракулы Drift воспринимали его как легитимный актив. Ловушка была расставлена.
23 марта было открыто четыре аккаунта с durable nonce. Два принадлежали реальным членам Security Council Drift. Два — злоумышленникам, которые к тому моменту уже получили необходимые подписи — предположительно, представив обычно выглядящие транзакции подписантам multisig, не имевшим возможности понять, что именно они одобряют. 27 марта Drift перевёл свой Security Council на конфигурацию 2/5 без timelock — тем самым устранив последний рубеж контроля, который мог бы обнаружить взлом.
1 апреля всё сработало. Тридцать одна последовательная транзакция вывода, примерно двенадцать минут, три основных хранилища опустошены — JLP Delta Neutral, SOL Super Staking, BTC Super Staking — на общую сумму свыше 285 миллионов долларов в USDC, SOL, JLP и WBTC. TVL протокола упал с 550 миллионов до менее чем 250 миллионов. Токен DRIFT рухнул более чем на 40%. Одиннадцать протоколов экосистемы Solana получили сопутствующий ущерб.
ZachXBT, Circle и вопрос, который жжёт
Сразу после эксплойта злоумышленник конвертировал большую часть похищенных активов в USDC, а затем воспользовался мостом CCTP компании Circle — кросс-чейн протоколом эмитента USDC — для перевода около 232 миллионов долларов из Solana в Ethereum более чем в ста транзакциях на протяжении шести часов. В рабочее время по американскому часовому поясу. Circle не предприняла ничего.
ZachXBT прямо написал об этом в X, обратившись непосредственно к Circle и её генеральному директору Джереми Эллэйру:
Circle was asleep while many millions of USDC was swapped via CCTP from Solana to Ethereum for hours from the 9 figure Drift hack during US hours.
— ZachXBT (@zachxbt) April 2, 2026
Value was moved and nothing was done yet again.
Comes days after you froze 16+ business hot wallets incompetently which is still… pic.twitter.com/T0Xwg1HIfO
Контраст разителен: 23 марта — в тот самый день, когда атакующие создавали свои durable nonce аккаунты — Circle за считанные минуты заморозила балансы USDC 16 корпоративных кошельков, включая ckETH Minter Smart Contract фонда DFINITY, в рамках американского гражданского судопроизводства. Легитимные кошельки, реальный бизнес, без предупреждения. ZachXBT уже называл это самой некомпетентной заморозкой за пять лет. Но Circle хотя бы действовала.
На этот раз — нет. Исследователь Specter добавил красноречивую деталь: злоумышленник удерживал средства без движения один-три часа перед переводом и намеренно избегал Tether. Он знал, что Circle не вмешается.
Для русскоязычных пользователей, живущих в Европе или странах СНГ и использующих криптовалюту как альтернативу банковской системе, этот случай особенно показателен: USDC воспринимается как надёжный стейблкоин, однако эмитент в критический момент бездействовал. Это важный контекст при оценке рисков любого централизованного стейблкоина — будь то USDC, USDT или иные активы, доступные через биржи вне санкционного периметра.
Кто за этим стоит: Lazarus Group, снова
Elliptic и TRM Labs опубликовали свои анализы с разницей в несколько часов, и их выводы совпадают. Все признаки указывают на Lazarus Group — северокорейский коллектив, которому уже приписывают кражу 1,4 миллиарда долларов с Bybit в 2025 году и эксплойт на 326 миллионов в Wormhole Bridge в 2022 году. Tornado Cash использовался на начальных этапах, временны́е метки соответствуют рабочему времени Пхеньяна в момент деплоя CVT, скорость отмывания и паттерны мультичейн-бриджинга — всё сходится.
По данным Elliptic, это восемнадцатая атака, приписываемая северокорейскому режиму в 2026 году. Свыше 300 миллионов долларов похищено за несколько месяцев. По данным правительства США, эти средства финансируют ракетную и ядерную программы Пхеньяна.
Проблема была не в коде
Два аудита подтвердили безопасность Drift — Trail of Bits в 2022 году и ClawSecure в феврале 2026 года. Никаких уязвимостей найдено не было. Проблема крылась в архитектуре управления, выстроенной на допущениях, которые терпеливый злоумышленник методично разрушал: отсутствие timelock для административных миграций, оракулы без минимальных порогов ликвидности, а также подписанты multisig без реальных процедур проверки содержания транзакций перед их подтверждением.
В 2026 году было взломано 35 DeFi-протоколов в общей сложности примерно на 453 миллиона долларов. Взлом Drift — крупнейший отдельный инцидент года. Вероятно, не последний.
