Крупнейший DeFi‑эксплойт года начался на нетворкинг‑мероприятии с бесплатными напитками — Drift Protocol 5 апреля сообщила, что ее Apr. 1 hack стал результатом шестимесячной разведоперации, теперь с уровнем уверенности от среднего до высокого связанной с акторами, аффилированными с северокорейским государством.
Детали атаки на Drift Protocol
Инфильтрация began осенью 2025 года, когда группа, выдававшая себя за количественную трейдинговую фирму, подошла к контрибьюторам Drift на крупной криптоконференции. В последующие месяцы они лично встречались с участниками команды на нескольких отраслевых мероприятиях в разных странах.
Они внесли более $1 млн собственного капитала в Ecosystem Vault.
Они задавали детальные вопросы о продукте на протяжении нескольких рабочих сессий, выстраивая, по всей видимости, легитимную торговую операцию внутри инфраструктуры Drift.
Между декабрем 2025 года и мартом 2026 года группа углубляла связи через интеграции хранилищ (vault) и продолжала личные встречи на конференциях. У контрибьюторов не было причин подозревать неладное — к моменту эксплойта отношения длились почти полгода и включали проверенные профессиональные биографии, содержательные технические обсуждения и работающий ончейн‑футпринт.
Когда атака произошла 1 апреля, чаты группы в Telegram и вредоносное ПО были полностью очищены. Судебно‑технический анализ выявил два вероятных вектора проникновения: вредоносный репозиторий кода, переданный под предлогом развёртывания фронтенда для хранилища, и приложение TestFlight, представленное как кошелек группы.
Известная уязвимость в редакторах VSCode и Cursor, на которую сообщество безопасности активно указывало с декабря 2025 по февраль 2026 года, могла позволить бесшумное выполнение кода при простом открытии файла.
Все оставшиеся функции протокола были заморожены, а скомпрометированные кошельки удалены из мультисиг‑кошелька. Для расследования привлечена компания Mandiant, а кошельки злоумышленников помечены на биржах и у операторов мостов.
Также читайте: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Подозреваются северокорейские группы угроз
Проведенное командой SEALS 911 расследование с уровнем уверенности от среднего до высокого показало, что операция была проведена теми же акторами угроз, которые стояли за взломом Radiant Capital в октябре 2024 года.
Mandiant ранее приписала ту атаку группе UNC4736, аффилированной с северокорейским государством и также отслеживаемой как AppleJeus или Citrine Sleet.
Связь основывается как на ончейн‑доказательствах, так и на операционных паттернах.
Потоки средств, использованные для подготовки и тестирования операции против Drift, ведут к атакующим Radiant, а использованные в кампании персоны пересекаются с известной активностью, связанной с КНДР. Показательно, что люди, появлявшиеся лично, не были гражданами Северной Кореи — акторы угроз такого уровня из КНДР, как известно, используют третьих лиц‑посредников для личных контактов.
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline