Предупреждение о социальной инженерии XRPL: как хакеры Drift используют уязвимости человеческой натуры для обхода системы мультиподписей

1 апреля 2026 года крупнейшая децентрализованная биржа бессрочных контрактов в экосистеме Solana Drift Protocol была взломана, и примерно за 12 минут было похищено около 285 миллионов долларов пользовательских средств, что стало вторым по величине инцидентом безопасности в истории Solana. Всего через несколько дней валидатор XRP Ledger Vet на социальных сетях выпустил предупреждение: эта атака стала важным уроком для разработчиков в экосистеме XRP — подобные угрозы социального инжиниринга могут случиться в любой криптосети.

Как разрушилась шестимесячная «операция разведки» и сорвала защиту много-подписей?

Суть атаки Drift заключалась не в уязвимости смарт-контрактов, а в структурированной кампании социального инжиниринга, растянувшейся на полгода. Согласно официальному расследованию Drift, атакующие начали внедрение уже осенью 2025 года: они выдавали себя за представителей компании по количественной торговле и вступали в контакт с участниками Drift на нескольких международных криптовалютных конференциях. В последующие шесть месяцев они выстраивали с целевыми участниками частные отношения, участвовали в очных встречах, создавали Telegram-группы для обсуждения торговых стратегий и даже вносили в казну экосистемы Drift более 1 миллиона долларов собственных средств, чтобы повысить доверие. В итоге атакующие завершили проникновение по двум траекториям: один из участников клонировал вредоносный репозиторий кода, использующий известную уязвимость в VSCode; другой участник загрузил вредоносное приложение, представленное как «продукт для кошелька», под видом TestFlight.

Почему «злоупотребление законной функциональностью» стало ключевым прорывом в технических методах?

Атакующие не взламывали ни какие-либо приватные ключи, ни дефекты кода. Настоящий прорыв обеспечила функция Solana «постоянного случайного числа» — она позволяет заранее подписанным транзакциям оставаться действительными даже спустя недели. Получив через социальный инжиниринг разрешение участников много-подписей, атакующие заранее проставили подписи под вредоносными транзакциями и затем, когда получили достаточные полномочия, исполнили их мгновенно, оставив защитникам почти нулевое время на реакцию. Отдельно стоит отметить: в много-подписной архитектуре Drift таймлок установлен на 0 секунд, то есть транзакция может быть исполнена сразу после одобрения двумя подписантами, что дополнительно расширяет окно атаки. После инцидента Drift подчеркнул, что все участники много-подписей использовали холодные кошельки, но это все равно не помешало атаке — что демонстрирует: когда атака фиксируется на человеческом уровне, даже строгий аппаратный контроль может быть обойден.

Почему валидатор XRP Ledger выпустил специальное предупреждение о межэкосистемных угрозах?

Предупреждение валидатора XRP Ledger Vet не было общими словами. Он указал, что все ключевые XRP-ориентированные проекты имеют в распоряжении учетные записи для операций, права на объединение репозиториев кода и учетные данные для бэкенд-систем, «и выжить сможет только достаточно осторожный». Vet также особо выделил два структурных фактора, усиливающих риск для XRPL: во‑первых, число разработчиков, порождаемых проектами, написанными методом «кодирования по образцу», постоянно растет, из‑за чего сложно гарантировать безопасность и соблюдение операционных регламентов; во‑вторых, офлайн-мероприятия по XRP становятся все более частыми, создавая естественные сценарии для атак социального инжиниринга. Эти признаки очень точно совпадают с тем, как атакующие выстраивали доверие через офлайн-встречи в атаке Drift.

Размывается граница доверия «на ончейне» и «вне чейна» — и это становится оборонительной слепой зоной всей отрасли?

Виталик Бутерин отмечал, что криптографическая защита в блокчейне ограничена уровнем консенсуса, а действия вне цепочки — подача данных оракулов, решения по управлению и повторное стейкингование — полностью зависят от добросовестности валидаторов, а не принудительно исполняются алгоритмами. Инцидент Drift — реальное подтверждение этого тезиса: атакующие не взломали сам блокчейн, они взломали «людей» — решение и действия подписантов много-подписей. В экосистеме XRPL, где валидаторы выступают как ключевые узлы сетевого консенсуса, их граница безопасности также распространяется на уровень вне цепочки: управление операционными учетными записями, безопасность учетных данных бэкенд-систем и права на объединение репозиториев кода — если хоть один из этих этапов «вне цепочки» рушится, безопасность ончейн-активов больше не существует.

Когда хакеры уровня государства рассматривают социальный инжиниринг как обычное оружие — как должна обновиться система защиты между экосистемами?

Инцидент Drift был отнесен к «средне-высокой» достоверности и связан с государственно спонсируемой хакерской организацией UNC4736, имеющей связь с КНДР; этот актор в октябре 2024 года планировал атаку, приведшую к потерям Radiant Capital в размере 58 миллионов долларов. Потоки финансирования в ходе этой операции для тестирования направлений, а также операционные методы имеют наблюдаемые совпадения с предыдущим делом. Это означает, что DeFi-протоколы сталкиваются уже не с изолированным хакерским индивидуумом, а с профессиональной организацией, располагающей поддержкой государства и способной в течение нескольких месяцев вкладываться в «людскую разведку» и социальный инжиниринг. По сути, предупреждение валидатора XRPL — это напоминание всей отрасли: межэкосистемные угрозы безопасности больше не являются допущением, это распространяющаяся реальность.

Тренды межцепочечной безопасности в 2026 году уже прокладывают путь к следующей крупномасштабной атаке?

В 2025 году более 2,01 миллиарда долларов украденных средств были отмыты через межцепочечные мосты, составив 49,75% всех потерь за год. В инциденте Drift атакующие перевели значительную часть украденных средств с Solana в Ethereum через протокол межцепочечной трансферы Circle, а затем дополнительно конвертировали в ETH. Сложность механизмов валидации межцепочечных мостов и неоднородность отраслевых стандартов безопасности становятся ключевой скрытой угрозой для стабильности криптоэкосистемы. Для XRPL, по мере усиления межцепочечной совместимости, аналогичные каналы передачи средств тоже могут стать для атакующих «магистралью» для отмывания денег и побега.

От предупреждений валидаторов к размышлениям отрасли: нужно ли переносить акцент защиты с «технологического упрочнения» на «операционную безопасность»?

Самое глубокое прозрение инцидента Drift в том, что традиционная защитная парадигма, опирающаяся на «аудит кода + управление через много-подписи», структурно дает сбой, когда переменной становится «человек». Предложение валидатора XRPL Vet «выжить сможет только достаточно осторожный», — не преувеличение и не запугивание, а серьезное напоминание об операционной безопасности. С точки зрения стратегии защиты отрасли, возможно, нужно обновляться по трем направлениям: во‑первых, валидаторам и ключевым участникам следует внедрить механизмы обучения распознаванию атак социального инжиниринга; во‑вторых, в проектировании много-подписных архитектур нужно вводить принудительные окна ожидания, такие как «таймлоки», чтобы блокировать немедленный прокси-ввод уже предварительно подписанных транзакций; в‑третьих, обмен информацией между экосистемами и сотрудничество по сбору угроз нужно сделать более институционализированным, чтобы алармы одной экосистемы быстро доходили до других сетей.

Итоги

Социально-инжиниринговое предупреждение валидатора XRP Ledger о методах атаки Drift — это не изолированный внутренний инцидент в одной экосистеме, а стресс-тест системы защиты безопасности всей криптоиндустрии. Когда государственные хакерские организации соединяют социальный инжиниринг с злоупотреблением законными функциями протоколов, и когда «доверие вне цепочки» становится более слабым звеном, чем уязвимости смарт-контрактов, любая отдельная экосистема может рухнуть из‑за ошибочного суждения одного участника. Направление ответа отрасли не должно ограничиваться исправлениями на уровне технологий — требуется системная перестройка в области культуры операционной безопасности, избыточности механизмов управления и межэкосистемного упреждающего оповещения.

Частые вопросы

В: Что такое функция «постоянного случайного числа»? Почему ею воспользовались атакующие?

Постоянное случайное число — это законная функция в протоколе Solana: она позволяет транзакциям использовать учетную запись с фиксированным случайным числом вместо истекающего хэша блока, благодаря чему заранее подписанные транзакции могут оставаться действительными в течение нескольких недель. Атакующие получают через социальный инжиниринг разрешение участников много-подписей, затем используют эту функцию, чтобы заранее подписать вредоносные транзакции, а после получения достаточных полномочий исполняют их мгновенно, обходя ограничения по временным окнам традиционного механизма много-подписей.

В: Есть ли в экосистеме XRP Ledger структурные уязвимости, похожие на те, что были в Drift?

Валидатор XRP Ledger Vet указывает, что в экосистеме XRPL ключевые проекты обычно располагают правами на доступ к операционным учетным записям и правами на объединение репозиториев кода — это соответствует схожим характеристикам риска «устройства участника», которое было скомпрометировано в атаке Drift. Кроме того, рост офлайн-активностей XRPL предоставляет больше сценариев контакта для социального инжиниринга.

В: Как валидаторы предотвращают подобные атаки социального инжиниринга?

Ключевые меры включают: создание операционной среды с многофакторной аутентификацией и аппаратной изоляцией; строгую проверку поведения при клонировании репозиториев кода; формирование системы обучения распознаванию атак социального инжиниринга; введение обязательных таймлоков в управлении много-подписями; а также регулярную ротацию и аудит ключевых прав.

В: Какую роль играют межцепочечные мосты в инцидентах безопасности?

Межцепочечные мосты — один из ключевых каналов, используемых хакерами для отмывания денег. В инциденте Drift более 230 миллионов долларов украденных средств были переведены через межцепочечный протокол передачи с Solana на Ethereum. Сложность механизмов валидации межцепочечных мостов и неоднородность стандартов безопасности делают их важным инструментом для атакующих при переводе и сокрытии средств.

В: Как это событие повлияло на рыночные показатели XRP?

По состоянию на 7 апреля 2026 года, согласно данным котировок Gate, текущая цена XRP составляет 1.312 USD. В этой статье не предоставляются прогнозы по цене; пользователям следует самостоятельно оценить соответствующие риски.