Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Drift Protocol, platforma DeFi działająca w ekosystemie Solana, padła ofiarą poważnego incydentu bezpieczeństwa, w wyniku którego atakujący przejęli uprawnienia administracyjne Security Council i doprowadzili do utraty środków o szacowanej wartości około 280 mln USD. Zdarzenie jest szczególnie istotne z perspektywy cyberbezpieczeństwa, ponieważ nie wynikało z klasycznej podatności w smart kontraktach, lecz z nadużycia mechanizmów operacyjnych oraz uprawnień zarządczych.
W skrócie
Atak został przygotowany z wyprzedzeniem i opierał się na wykorzystaniu durable nonce accounts oraz wcześniej podpisanych transakcji. Napastnik uzyskał wymagany próg akceptacji w modelu multisig Security Council, a następnie w odpowiednim momencie wykonał złośliwe operacje przejmujące kontrolę administracyjną nad protokołem.
Po uzyskaniu dostępu wprowadzono złośliwy asset, usunięto limity wypłat i doprowadzono do odpływu środków. Funkcje protokołu zostały zamrożone, a operator rozpoczął współpracę z firmami bezpieczeństwa, giełdami oraz organami ścigania.
Kontekst / historia
Drift Protocol to niepowiernicza platforma handlowa DeFi zbudowana na blockchainie Solana. Model działania tego typu usług zakłada, że użytkownicy zachowują kontrolę nad aktywami, ale jednocześnie bezpieczeństwo całego systemu zależy nie tylko od kodu smart kontraktów, lecz także od architektury uprawnień administracyjnych, procedur podpisywania transakcji i sposobu zarządzania krytycznymi rolami.
Według dostępnych informacji przygotowania do ataku trwały od 23 do 30 marca 2026 roku. W tym czasie napastnik miał skonfigurować mechanizmy umożliwiające opóźnione wykonanie złośliwych transakcji oraz zdobyć wystarczającą liczbę akceptacji w schemacie multisig. Kulminacja nastąpiła 1 kwietnia 2026 roku, gdy po wykonaniu pozornie prawidłowej operacji uruchomiono przygotowane wcześniej transakcje przejmujące kontrolę nad funkcjami administracyjnymi.
Analiza techniczna
Najważniejszym aspektem incydentu jest to, że nie doszło do bezpośredniego wykorzystania błędu w logice smart kontraktu ani do kompromitacji seed phrase. Atak miał charakter proceduralno-administracyjny i został przeprowadzony z użyciem legalnych mechanizmów dostępnych w środowisku blockchain.
Kluczową rolę odegrały durable nonce accounts, które pozwalają przygotować transakcje do późniejszego wykonania w kontrolowanym momencie. W połączeniu z wcześniej zebranymi podpisami w systemie multisig umożliwiło to oddzielenie momentu autoryzacji od momentu realizacji. Taki model znacząco utrudnia wykrycie faktycznego celu operacji, jeśli monitoring skupia się głównie na wykonanych transakcjach, a nie na całym łańcuchu przygotowawczym.
Po osiągnięciu wymaganego progu podpisów atakujący dysponował możliwością uruchomienia złośliwych zmian administracyjnych niemal natychmiast. Po przejęciu kontroli nad Security Council zmodyfikowano parametry działania protokołu, dodano złośliwy asset i usunięto ograniczenia związane z wypłatami. W praktyce oznaczało to pełne otwarcie drogi do drenowania środków z dotkniętych komponentów systemu.
Ten przypadek pokazuje, że bezpieczeństwo środowisk Web3 nie może być oceniane wyłącznie przez pryzmat audytów kodu. Nawet poprawnie działające smart kontrakty mogą zostać wykorzystane w niepożądany sposób, jeśli warstwa zarządzania uprawnieniami, multisig i procesów zatwierdzania nie została zabezpieczona przed nadużyciem.
Konsekwencje / ryzyko
Bezpośrednią konsekwencją incydentu była utrata środków szacowana na około 280 mln USD, przy czym część obserwatorów blockchain wskazywała wartość bliższą 285 mln USD. Dotknięte zostały obszary związane z depozytami borrow/lend, vault deposits oraz funduszami wykorzystywanymi do handlu.
Z perspektywy ryzyka operacyjnego incydent ujawnia kilka krytycznych problemów. Po pierwsze, kompromitacja uprawnień administracyjnych może być równie groźna jak luka typu critical w smart kontrakcie. Po drugie, wielopodpis nie gwarantuje bezpieczeństwa, jeśli proces zatwierdzania transakcji nie zapewnia pełnej widoczności celu, skutków i czasu wykonania. Po trzecie, mechanizmy opóźnionego wykonania mogą zostać użyte do obejścia klasycznych kontroli detekcyjnych.
Dodatkowym skutkiem jest utrata zaufania do modelu governance i bezpieczeństwa operacyjnego całego protokołu. W środowisku DeFi takie zdarzenia często przekładają się nie tylko na natychmiastowe straty finansowe, ale również na długofalowy odpływ użytkowników, presję regulacyjną i wzrost kosztów odbudowy infrastruktury bezpieczeństwa.
Rekomendacje
Organizacje rozwijające rozwiązania Web3 powinny wdrożyć wielowarstwowe zabezpieczenia dla operacji administracyjnych. Sam multisig nie jest wystarczający, jeśli członkowie organu zatwierdzającego nie mają pełnego i zrozumiałego podglądu konsekwencji podpisywanych transakcji. Każda operacja uprzywilejowana powinna być analizowana w czytelnej formie semantycznej, a nie wyłącznie jako surowe dane transakcyjne.
Należy wprowadzić obowiązkowe mechanizmy timelock dla zmian administracyjnych o wysokim wpływie, szczególnie tych, które dotyczą asset listing, limitów wypłat, modyfikacji parametrów ryzyka i zmian ról. Takie operacje powinny być objęte dodatkowymi alertami, procedurą out-of-band confirmation oraz możliwością awaryjnego zatrzymania.
- monitoring transakcji przygotowanych, a nie tylko wykonanych,
- analizę ryzyka durable nonce accounts i podobnych mechanizmów odroczonego wykonania,
- segmentację uprawnień administracyjnych,
- niezależne zatwierdzanie zmian wysokiego ryzyka przez więcej niż jeden organ,
- automatyczne alerty dla zmian w konfiguracji multisig i governance,
- playbooki IR dla przejęcia uprawnień administracyjnych,
- integrację z firmami analityki blockchain w celu szybkiego śledzenia i oznaczania skradzionych środków.
Istotne jest również przeprowadzanie regularnych ćwiczeń red team i tabletop exercises obejmujących scenariusze nadużycia legalnych funkcji governance. W wielu środowiskach to właśnie ten obszar pozostaje słabiej testowany niż sama warstwa smart kontraktów.
Podsumowanie
Incydent Drift Protocol pokazuje, że największe ryzyko w systemach DeFi nie zawsze wynika z błędów programistycznych. W tym przypadku atakujący wykorzystali legalne mechanizmy administracyjne, proces podpisywania multisig i możliwość odroczonego wykonania transakcji, aby przejąć kontrolę nad krytycznymi funkcjami platformy. To ważne ostrzeżenie dla całego sektora Web3: bezpieczeństwo kodu musi iść w parze z bezpieczeństwem operacyjnym, nadzorem nad governance oraz ścisłą kontrolą nad uprawnieniami uprzywilejowanymi.
Źródła
- BleepingComputer — https://www.bleepingcomputer.com/news/security/drift-loses-280-million-as-hackers-seize-security-council-powers/
- Drift Protocol — https://www.drift.trade/
- PeckShieldAlert — https://x.com/PeckShieldAlert