Крупнейший DeFi‑взлом года начался на нетворкинг‑мероприятии с бесплатными напитками — Drift Protocol 5 апреля раскрыла, что ее взлом 1 апреля стал результатом шестимесячной разведоперации, которая теперь с средней‑высокой степенью уверенности связывается с акторами, аффилированными с северокорейским государством.
Подробности атаки на Drift Protocol
Внедрение началось осенью 2025 года, когда группа, выдававшая себя за квантовую трейдинговую фирму, подошла к контрибьюторам Drift на крупной криптоконференции. В последующие месяцы они встречались с членами команды лично на нескольких отраслевых мероприятиях в разных странах.
Они внесли более $1 млн собственного капитала в Ecosystem Vault.
Они задавали детальные продуктовые вопросы на множестве рабочих сессий, выстраивая, как казалось, легитимную торговую операцию внутри инфраструктуры Drift.
Между декабрем 2025 и мартом 2026 года группа углубляла связи через интеграции хранилища и продолжала личные встречи на конференциях. У контрибьюторов не было оснований для подозрений — к моменту эксплойта отношения длились почти полгода и включали проверенные профессиональные биографии, содержательные технические обсуждения и функционирующее ончейн‑присутствие.
Когда атака произошла 1 апреля, чаты группы в Telegram и вредоносное ПО были тщательно очищены. Судебный анализ выявил два вероятных вектора проникновения: вредоносный репозиторий кода, переданный под предлогом деплоя фронтенда для хранилища, и приложение TestFlight, представленное как кошелек группы.
Известная уязвимость в редакторах VSCode и Cursor, на которую активно указывало сообщество безопасности с декабря 2025 по февраль 2026 года, могла позволить бесшумное выполнение кода просто при открытии файла.
Все оставшиеся функции протокола заморожены, а скомпрометированные кошельки удалены из мультисигов. К расследованию привлечена Mandiant, а кошельки атакующих помечены на биржах и у операторов мостов.
Также читайте: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Подозреваются северокорейские угрозоакторы
Расследование, проведенное командой SEALS 911, с средней‑высокой степенью уверенности оценило, что операция была выполнена теми же угрозоакторами, которые стояли за взломом Radiant Capital в октябре 2024 года.
Ранее Mandiant приписала ту атаку группе UNC4736, аффилированной с северокорейским государством и также отслеживаемой как AppleJeus или Citrine Sleet.
Связь основана как на ончейн‑уликах, так и на операционных паттернах.
Потоки средств, использованных для подготовки и тестирования операции против Drift, ведут к атакующим Radiant, а используемые в кампании персоны пересекаются с известной активностью, связанной с КНДР. Показательно, что лица, появлявшиеся лично, не были гражданами Северной Кореи — угрозоакторы КНДР такого уровня известны использованием третьих лиц‑посредников для личных контактов.
Читайте далее: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline