DeFi-протокол кредитования Drift взломали за 10 секунд: похищено более $220 млн, затронуто свыше 15 проектов
Автор: Гу Ю, ChainCatcher
Около 01:00 по местному времени в DeFi-секторе произошла новая крупная кража: на Solana был взломан кредитный протокол Drift. По оценкам, за десять секунд злоумышленник вывел пользовательские активы на сумму свыше $220 млн. После инцидента токен Drift за короткое время просел более чем на 40%, текущая полностью разводнённая оценка (FDV) составляет около $44 млн. На фоне тесной связности активов в экосистеме Solana аномальные снижения показали и ряд других токенов, включая SOL и JUP.
Drift ранее входил в число крупнейших лендинговых протоколов Solana. По данным RootData, проект привлёк более $52 млн. Среди инвесторов — Multicoin Capital, Polychain, Robot Ventures, Blockchain Capital, Ethereal Ventures и Jump Capital.
Публичные разборы указывают, что кража связана с раскрытием уязвимостей в мультисиг-адресах на фоне типовых для DeFi векторов — атак через управление и оракулы. Вся цепочка действий была проведена одной подписью в рамках одной транзакции: создание фейкового рынка, манипуляция оракулом и снятие ограничений на вывод.
По данным из X (Twitter) и анализа со стороны Омера Голдберга, основателя Chaos Labs, предпосылки проявились ещё неделю назад. Drift перенёс управленческие права со старого мультисиг-кошелька на новый мультисиг, который создал один из подписантов старого, но при этом не добавил себя в список подписантов нового кошелька. Этим воспользовался атакующий: в старом мультисиге он инициировал предложение перевести админ-права Drift на новый кошелёк под своим контролем.
В новом мультисиге было пять подписантов: только один из прежнего состава, остальные четыре — новые. Порог подписей оказался крайне мягким — достаточно 2 из 5, а таймлок отсутствовал (0 секунд), то есть предложения исполнялись сразу после одобрения. Ранним утром последний оставшийся "оригинальный" подписант отправил через новый мультисиг предложение сменить админ-права Drift на кошелёк, контролируемый атакующим. Через секунды один из новых подписантов поставил подпись, порог 2/5 был достигнут, и из-за отсутствия таймлока предложение исполнилось мгновенно — атакующий получил полный административный доступ.
Далее злоумышленник создал на Drift спотовый рынок CVT. Общий объём эмиссии CVT оценивается примерно в 750 млн токенов, из которых у атакующего было 600 млн. Затем он подключил контролируемый им оракул SwitchboardOnDemand и настроил Drift на чтение данных именно из него. После этого примерно 20 транзакциями он разогнал цену практически неликвидного CVT, и оракул "оценил" пакет 600 млн CVT в сотни миллионов долларов.
На этой базе атакующий занял активы ориентировочно на $220–280 млн. Среди них — 41,72 млн JLP (LP-токены Jupiter) примерно на $155 млн, 51,61 млн USDC и 164 cbBTC (около $11,29 млн).
Модульная архитектура DeFi, которую часто называли ключевым преимуществом, в этом случае ускорила передачу риска по цепочке на другие протоколы Solana, интегрировавшие рынок кредитования Drift. Наиболее серьёзно пострадал Jupiter: значительная часть украденных JLP являлась базовым LP-активом его рынка бессрочных фьючерсов. Потеря JLP способна заметно ухудшить ликвидность перпетуального рынка Jupiter и спровоцировать цепную реакцию — от панических выводов до давления на цену токена JUP.
О влиянии инцидента уже заявили более 15 DeFi-проектов, включая Perena, Project 0, Exponent, Carrot, Ranger, PiggyBank, Reflect, Elemental, Neutral Trade, Pyra, Fuse и XPlace; часть сервисов временно приостанавливала функции вывода. Наибольший ущерб, как обычно, несут пользователи: волна взломов продолжает подрывать доверие к DeFi.
После потери более $6 000 известный KOL Tuyao DashiXiong опубликовал эмоциональный пост: "Сегодня больше ничем не занимаюсь — вывожу все средства из старых проектов во всех сетях и не заношу деньги в новые, пока досконально не разберусь. Время турбулентное, не стоит проверять человеческую природу".
