В постоянно развивающемся ландшафте децентрализованных финансов (DeFi) взлом Drift Protocol 1 апреля 2026 года служит ярким напоминанием о многообразных угрозах, нависших над этой цифровой границей. Этот инцидент, сопровождающийся потерей в $285 миллионов, не только подчеркивает уязвимости, присущие системам DeFi, но и демонстрирует сложные тактики, используемые злоумышленниками, возможно, связанными с северокорейскими операторами. Атака на ведущий протокол блокчейна Solana также освещает критическую роль антиотмывочных (AML) и комплаенс-рамок в снижении таких рисков.
Понимание взлома Drift Protocol
Атака на Drift Protocol не была импульсивным актом киберпреступности, а была тщательно спланированной операцией, разворачивавшейся в течение нескольких месяцев. Предварительные расследования предполагают участие лиц, связанных с Корейской Народно-Демократической Республикой (КНДР). Злоумышленники использовали комбинацию социальной инженерии и технических уязвимостей, в конечном итоге получив несанкционированный доступ к административным контрольным функциям протокола. Здесь мы углубляемся в сложности атаки и последствия для команд комплаенса, ответственных за защиту от таких угроз.
Социальная инженерия: человеческий фактор
Основа этой атаки была заложена через стратегическую социальную инженерию. Злоумышленники выдавали себя за представителей фирмы количественной торговли, вступая в контакт с командой Drift на различных криптовалютных конференциях. Эти взаимодействия, растянувшиеся на несколько месяцев, были направлены на создание доверия и авторитета в экосистеме Drift. Через такие платформы, как Telegram, и посредством личных встреч, злоумышленники интегрировались в сообщество, получая необходимую близость для влияния на ключевых лиц.
Такая тактика социальной инженерии подчеркивает необходимость для команд комплаенса быть бдительными не только в отношении технических угроз, но и человеческих уязвимостей внутри их организаций. Обучение и программы повышения осведомленности необходимы для оснащения членов команды навыками распознавания и противодействия таким обманным стратегиям.
Техническая манипуляция: создание фальшивого актива
12 марта 2026 года злоумышленники ввели в экосистему поддельный токен, CarbonVote Token (CVT). Контролируя 80% его предложения, они смогли манипулировать его воспринимаемой стоимостью. Они создали небольшой пул ликвидности и занимались самоторговлей, чтобы создать видимость рыночной активности, что обмануло внешние ценовые оракулы, признающие CVT в качестве легитимного актива.
Эта манипуляция подчеркивает уязвимости в протоколах DeFi, которые могут быть использованы через зависимость от внешних оракулов. Для команд комплаенса обеспечение устойчивости протоколов против таких манипуляций имеет первостепенное значение. Это можно достичь через диверсифицированные источники оракулов и улучшенные механизмы валидации.
Эксплуатация прочных неонсов Solana
Между 23 и 30 марта 2026 года злоумышленники использовали функцию 'прочного неонса' Solana для подготовки предварительно подписанных транзакций. Эта функция позволяет транзакциям быть подписанными заранее и выполненными позже, создавая окно для потенциального злоупотребления, если оно не защищено должным образом. Через сложную социальную инженерию злоумышленники получили подписи от членов Совета безопасности Drift, неосознанно санкционируя транзакции, которые позже передали контроль злоумышленникам.
Понимание прочных неонсов
Прочные неонсы похожи на постдатированные чеки в традиционных финансах, позволяя транзакциям выполняться в будущем. Хотя эта функция предлагает гибкость, она также вводит риски, если подписанты не полностью осведомлены о деталях транзакций, которые они санкционируют. Этот аспект атаки подчеркивает важность надежных процессов утверждения транзакций и всестороннего понимания функций блокчейна среди специалистов по комплаенсу.
Исполнение атаки
1 апреля 2026 года, ровно в 16:05:18 по UTC, злоумышленники исполнили предварительно подписанную транзакцию, передав административный контроль на свой адрес. Это быстрое исполнение двух последовательных транзакций, всего лишь с разницей в одну секунду, дало им полный контроль над протоколом Drift.
Получив административный контроль, злоумышленники приступили к добавлению своего поддельного актива, CVT, в белый список в качестве обеспечения. Они настроили систему на принятие CVT как легитимной формы обеспечения, что позволило им вывести реальные активы, такие как USDC, SOL и ETH, на сумму $285 миллионов.
Последствия и комплаенс-импликации
Последствия взлома Drift Protocol выходят за рамки непосредственных финансовых потерь. Взаимозависимый характер экосистем DeFi означал, что другие протоколы, зависящие от ликвидности и стратегий Drift, также столкнулись с сбоями. На момент написания, по меньшей мере 20 протоколов сообщили о проблемах, некоторые приостановили функциональность для оценки воздействия, а другие изучают возможности компенсации пользователям.
Механизмы защиты в реальном времени
Этот инцидент подчеркивает ограничения ручного вмешательства перед лицом сложных, многоуровневых атак. Даже когда эксплуатация разворачивается в течение нескольких часов, начальное административное захват может быть необратимым после исполнения. Системы обнаружения и реагирования на угрозы в реальном времени на блокчейне могут играть решающую роль в таких сценариях.
Например, системы такие как GateSigner от Hexagate могут предоставить дополнительный уровень защиты, оценивая намерение транзакций перед их исполнением. Такие системы могут отмечать необычные снятия средств, инициированные администратором, быстрые транзакции на крупные суммы и другие аномальные действия, позволяя автоматизированные ответы для предотвращения или смягчения воздействия атак.
Предотвращение будущих атак
- Внедрение автоматизированных контролей для приостановки контрактов при превышении критических порогов, таких как быстрые крупномасштабные снятия средств в нескольких хранилищах.
- Блокировка подозрительных транзакций и активация аварийных выключателей на аномальных действиях.
- Проведение регулярных аудитов и стресс-тестов для обеспечения устойчивости протоколов против потенциальных эксплойтов.
- Усиление программ обучения для повышения осведомленности сотрудников о потенциальном злоупотреблении функциями блокчейна и важности должной осмотрительности при утверждении транзакций.
Регуляторный контекст и выводы для практиков
Взлом Drift Protocol служит кейсом важности регуляторных рамок и мер комплаенса в пространстве DeFi. По мере роста сектора регуляторные органы все больше сосредотачиваются на обеспечении безопасности и целостности цифровых активов. Это включает внедрение надежных политик AML и принятие технологических решений для мониторинга и противодействия незаконной деятельности.
Практические советы для команд комплаенса
- Разработка комплексных рамок AML и комплаенса, адаптированных к уникальным рискам платформ DeFi.
- Использование продвинутых инструментов ончейн-форензики для повышения обнаружения и предотвращения мошеннической деятельности.
- Сотрудничество с регуляторными органами для обновления последних требований комплаенса и лучших практик.
- Формирование культуры осведомленности о безопасности и непрерывного обучения внутри организации для решения как технических, так и человеческих уязвимостей.
Практические последствия для команд комплаенса
В заключение, взлом Drift Protocol подчеркивает критическую необходимость многостороннего подхода к безопасности и комплаенсу в пространстве DeFi. Понимая сложности таких атак и внедряя надежные рамки, команды комплаенса могут лучше защитить свои организации от подобных угроз. Это включает не только технологические решения, но и акцент на человеческие факторы, непрерывное образование и сотрудничество с регуляторными органами.
Уроки, извлеченные из этого инцидента, могут способствовать разработке более устойчивых платформ DeFi, в конечном итоге способствуя стабильности и целостности более широкой криптоэкосистемы.
Источник: https://www.chainalysis.com/blog/lessons-from-the-drift-hack/