Хак Drift не был эксплойтом кода.

Это была социальная инженерия с использованием долговечных нонсов Solana.
Краткое объяснение долговечных нонсов ↓
Обычно транзакции Solana включают недавний blockhash, который истекает примерно через 90 секунд. Пропустите окно — и подписанная транзакция становится недействительной.
Долговечные нонсы устраняют это ограничение по времени.
Вместо blockhash, который истекает через 90 секунд, вы подставляете сохранённое значение нонса из специального аккаунта в цепочке. Этот нонс не истекает, пока его кто-то не обновит вручную или не отправит транзакцию.
Подписанная транзакция с использованием долговечного нонса может храниться в чьем-то кошельке днями, неделями, месяцами. Всё ещё действительна. Всё ещё может быть выполнена. У подписанта нет видимости, когда или будет ли она использована.
Это существует по хорошим причинам: мультиподписные кошельки, где подписанты находятся в разных часовых поясах, холодное хранение, кастодиальные сервисы, которым необходим оффлайн-подпись. Но это кардинально меняет модель угроз.
Как это было использовано:
- 23 марта: злоумышленник создал четыре аккаунта нонса (два из которых связаны с членами Совета безопасности Drift).
- 23–30 марта: собрал 2/5 мультиподписных подписей на «рутинных» транзакциях.
- Эти подписи не истекали, они оставались действительными в течение нескольких дней.
- 1 апреля: злоумышленник отправил две предварительно подписанные транзакции с разницей в четыре слота: захват админки, снятие лимитов, вывод средств из хранилищ. ~$280M исчезли.
Без долговечных нонсов злоумышленнику пришлось бы обмануть подписантов и выполнить транзакцию в течение 90 секунд.
Нонсы расширили это окно до более чем недели, позволяя им медленно собирать подписи.
Утечек seed-фраз не было.
Аудиты прошли успешно.
Проблема заключалась в мультиподписе 2/5 без таймлоков и формате транзакции, который разделяет подпись и выполнение.