Найбільший DeFi‑експлойт року почався з нетворкінгового заходу з безкоштовними напоями — Drift Protocol 5 квітня розкрив, що його Apr. 1 hack став результатом шестимісячної розвідувальної операції, яку зараз із середньо‑високою впевненістю пов’язують з акторами, афілійованими з державою КНДР.
Деталі атаки на Drift Protocol
Інфільтрація began восени 2025 року, коли група, що видавала себе за кількісну трейдингову фірму, підійшла до контриб’юторів Drift на великій криптоконференції. Упродовж наступних місяців вони неодноразово зустрічалися з учасниками команди особисто на кількох галузевих заходах у різних країнах.
Вони депонували понад $1 млн власного капіталу в Ecosystem Vault.
Вони ставили детальні запитання щодо продукту під час кількох робочих сесій, вибудовуючи, на перший погляд, легітимну трейдингову операцію всередині інфраструктури Drift.
Між груднем 2025 та березнем 2026 року група ще більше поглибила зв’язки через інтеграції з сейфами (vaults) і продовжила особисті зустрічі на конференціях. У контриб’юторів не було підстав підозрювати щось — на момент експлойту відносинам було майже пів року, вони включали підтверджений професійний бекграунд, змістовні технічні обговорення та робочу ончейн‑присутність.
Коли атака сталася 1 квітня, чати в Telegram групи та шкідливе ПЗ були ретельно очищені. Форензічний аналіз виявив два ймовірні вектори проникнення: шкідливий репозиторій коду, надісланий під приводом розгортання фронтенду для vault, і застосунок TestFlight, представлений як їхній гаманець.
Відома вразливість в редакторах VSCode і Cursor, яку спільнота безпеки активно відстежувала з грудня 2025 до лютого 2026 року, могла дати змогу непомітно виконувати код лише при відкритті файла.
Усі інші функції протоколу заморожено, а скомпрометовані гаманці вилучено з multisig. Для розслідування залучено Mandiant, а гаманці зловмисників позначено на біржах і в операторів мостів.
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Підозра на північнокорейських зловмисників
Розслідування, проведене командою SEALS 911, із середньо‑високою впевненістю оцінило, що операцію здійснили ті самі зловмисники, які стояли за зламом Radiant Capital у жовтні 2024 року.
Раніше Mandiant приписав ту атаку групі UNC4736, афілійованій з державою КНДР, яку також відстежують під назвами AppleJeus або Citrine Sleet.
Зв’язок ґрунтується як на ончейн‑даних, так і на операційних патернах.
Потоки коштів, використані для підготовки та тестування операції проти Drift, простежуються до атакувальників Radiant, а використані в кампанії персони перетинаються з відомою активністю, пов’язаною з КНДР. Показово, що люди, які з’являлися особисто, не були громадянами Північної Кореї — відомо, що актори загроз із КНДР такого рівня використовують третіх посередників для особистих контактів.
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline