Шестимесячный заговор КНДР, стоящий за эксплойтом Drift на $285 млн, потряс криптовалютное сообщество

КомпанияDrift Protocol выпустила подробное обновление истории после эксплойта, произошедшего 1 апреля и приведшего к убыткам в размере более $285 млн. В нем содержится новое понимание того, как была организована атака и почему ее последствия вышли далеко за рамки одного протокола.

Инцидент, который теперь со "средней и высокой степенью достоверности" связывают с группой угроз, связанной с северокорейским государством, не только вызвал серьезные вопросы о методах обеспечения безопасности в DeFi, но и совпал с резким снижением общей стоимости блокировки Solana. За несколько дней, прошедших после эксплойта, Solana TVL снизилась с $6,34B до $5,55B, что представляет собой падение примерно на 12,5%.

Без учета украденных средств чистое снижение примерно на 8 % отражает значительный сдвиг в доверии пользователей, хотя оно по-прежнему ниже средних исторических показателей, наблюдавшихся после крупных эксплойтов.

Шестимесячная кампания проникновения

Согласно обновлению Drift от 5 апреля, эксплойт был результатом не одной уязвимости, а структурированной операции, которая разворачивалась в течение нескольких месяцев.

Атака началась осенью 2025 года, когда лица, выдававшие себя за компанию, занимающуюся количественной торговлей, обратились к спонсорам Drift на одной из криптоконференций. В течение последующих шести месяцев эти люди поддерживали постоянный контакт, лично встречаясь с участниками на многочисленных мировых отраслевых мероприятиях.

Они демонстрировали глубокие технические знания, представляли достоверную профессиональную биографию и вступали в подробные дискуссии о торговых стратегиях и интеграции хранилищ. Такое взаимодействие отражало типичное для торговых компаний поведение при приеме на работу, что позволяло развивать отношения, не вызывая немедленных подозрений.

В период с декабря 2025 года по январь 2026 года группа углубила свое участие, создав Ecosystem Vault на Drift, участвуя в рабочих сессиях и внеся в протокол более 1 млн долларов США. Эта деятельность обеспечила операционную легитимность и еще больше укрепила доверие.

На протяжении всех отношений группа обменивалась ссылками на инструменты, приложения и репозитории в рамках стандартных рабочих процессов интеграции. Эти взаимодействия впоследствии стали ключевыми в расследовании.

Вероятные векторы атак

Предварительные выводы Drift указывают на два основных пути вторжения.

Один из участников мог быть скомпрометирован после клонирования репозитория кода, связанного с фронтендом хранилища, которым злоумышленники поделились. Другой участник, как сообщается, загрузил приложение TestFlight, представленное как кошелек группы.

Исследователи безопасности также отметили потенциальную связь с известной уязвимостью, поразившей среды разработки, такие как VSCode и Cursor, в конце 2025 - начале 2026 года. Эта уязвимость позволяла выполнить произвольный код, просто открыв вредоносный репозиторий и не требуя вмешательства пользователя.

После использования уязвимости криминалистический анализ показал, что каналы связи злоумышленников и вредоносное программное обеспечение были быстро удалены, что свидетельствует о скоординированных усилиях по удалению следов.

Оценка угрозы и ответные меры

Следователи, включая команду SEAL 911, со средне-высокой степенью уверенности предположили, что эта операция имеет сходство с взломом Radiant Capital в октябре 2024 года. Ранее этот инцидент был приписан UNC4736, группе, связанной с северокорейским государством, также известной как AppleJeus или Citrine Sleet.

Drift уточнил, что люди, которые лично встречались с участниками Drift, скорее всего, были посредниками, а не непосредственными членами угрожающей группы. Это соответствует известной тактике, когда связанные с государством субъекты привлекают третьих лиц для налаживания отношений и проведения кампаний социальной инженерии.

Компания Mandiant была привлечена для проведения полного судебного расследования, хотя официальное установление авторства еще не завершено.

После обнаружения эксплойта Drift заморозила все оставшиеся функции протокола и удалила скомпрометированные кошельки из своего multisig. Команда также отметила адреса злоумышленников на биржах и у операторов мостов, чтобы ограничить поток средств.

В настоящее время протокол работает с правоохранительными органами и партнерами по безопасности, чтобы продолжить расследование и оценить возможности восстановления.

Реакция отрасли подчеркивает озабоченность безопасностью

Инцидент вызвал широкие комментарии со стороны лидеров индустрии, многие из которых подчеркнули необходимость усиления стандартов операционной безопасности.

Лукас Брудер, соучредитель и генеральный директор Jito Labs, заявил, что это событие изменит поведение в отрасли, добавив, что участники отрасли не были "достаточно параноидальными".

Джейкоб Крич, вице-президент по технологиям Solana Foundation, подчеркнул строгие правила безопасности, посоветовав командам избегать установки неизвестных приложений, использовать специальные устройства для подписи и пересмотреть свои текущие настройки.

Соучредитель Solana Анатолий Яковенко поддержал это мнение, назвав атаку "ужасающей" и рекомендовав физически разделить среды разработки и подписания, включая специальное оборудование для каждой функции.

Ончейн-исследователь, известный под ником Tay, отметил, что северокорейские ИТ-специалисты участвовали в создании криптопротоколов, начиная с DeFi summer, упомянув SushiSwap, THORChain, Harmony, Ankr, Shib и Yearn.

Они добавили, что заявления о "7-летнем опыте разработки блокчейна" в резюме таких актеров не стоит сбрасывать со счетов как ложные.

Степан Симкин, генеральный директор Squads Protocol, указал на необходимость формальных стандартов операционной безопасности, предложив для управления протоколами рамки, аналогичные аудиту кода или сертификации SOC2.

Дебаты об ответственности и халатности

Не все реакции были сочувственными. Ариэль Гивнер, эксперт по правовым вопросам, утверждала, что этот инцидент может представлять собой гражданскую халатность. Она раскритиковала смешение деятельности по разработке с доступом к критическим системам, а также отсутствие базовых гарантий, таких как закрытые с воздуха среды подписания.

Комментарии Гивнер отражают более широкую общественную дискуссию о подотчетности и о том, должны ли протоколы нести ответственность за предотвратимые операционные сбои.

Саймон Дедич, основатель и управляющий партнер Moonrock Capital, напротив, считает, что изощренность злоумышленников сделала предотвращение чрезвычайно сложным, как только Drift стал целью.

Более широкий сдвиг в мышлении в области безопасности

Другие эксперты рассматривали этот инцидент в более широком отраслевом контексте.

Лили Лю, президент Solana Foundation, отметила, что, хотя смарт-контракты сработали, как и ожидалось, злоумышленники все чаще нацеливаются на уязвимости людей, а не кода.

Редван Меслем, исполнительный директор Enterprise Ethereum Alliance, провел сравнение с традиционными отраслями, такими как аэрокосмическая и банковская, где строгий контроль доступа и протоколы безопасности являются стандартом. Он утверждал, что криптовалюты все еще работают на уровне стартапов, несмотря на управление значительными финансовыми рисками.

Пока продолжаются расследования, более широкий урок остается очевидным. Безопасность в DeFi должна выходить за рамки кода и включать в себя строгие операционные стандарты, контролируемую среду и переоценку того, как устанавливается доверие в условиях все более враждебного ландшафта.

Подробнее о SolanaFloor

Биржа Titan обещает 4-кратное превосходство над Binance благодаря новому маршрутизатору DART
$BTC держится на уровне $69k, поскольку переговоры о прекращении огня между США и Ираном провалились

Протокол Drift взломан на $285 млн