Найбільший DeFi‑експлойт року почався з нетворкінгу з безплатними напоями — Drift Protocol 5 квітня розкрив, що Apr. 1 hack став результатом шестимісячної розвідувальної операції, яку тепер із середньо‑високою впевненістю пов’язують із північнокорейськими акторами, афілійованими з державою.
Деталі атаки на Drift Protocol
Інфільтрація began восени 2025 року, коли група, що видавала себе за квантову трейдингову фірму, підійшла до контриб’юторів Drift на великій криптоконференції. Упродовж наступних місяців вони особисто зустрічалися з членами команди на кількох галузевих заходах у різних країнах.
Вони внесли понад $1 млн власного капіталу до Ecosystem Vault.
Вони ставили детальні запитання щодо продукту під час кількох робочих сесій, вибудовуючи, здавалося б, легальну трейдингову операцію всередині інфраструктури Drift.
Між груднем 2025 та березнем 2026 року група поглиблювала зв’язки через інтеграції з ваультами та продовжувала особисті зустрічі на конференціях. У контриб’юторів не було причин підозрювати щось — на момент експлойту стосунки тривали майже пів року й включали підтверджені професійні бекграунди, предметні технічні обговорення та працюючу ончейн‑присутність.
Коли атака сталася 1 квітня, Telegram‑чати групи та шкідливе ПЗ були повністю очищені. Форензичний аналіз визначив два ймовірні вектори проникнення: шкідливий репозиторій коду, надісланий під приводом розгортання фронтенду для ваульта, та застосунок TestFlight, представлений як їхній продукт‑гаманець.
Відома вразливість у редакторах VSCode і Cursor, на яку спільнота безпеки активно звертала увагу з грудня 2025 по лютий 2026 року, могла дозволити «тихе» виконання коду лише шляхом відкриття файлу.
Усі решта функцій протоколу заморожені, а скомпрометовані гаманці видалені з мультипідпису. Для розслідування залучена Mandiant, а гаманці зловмисників позначені на біржах та в операторів мостів.
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Підозрюються північнокорейські актори загроз
Розслідування, проведене командою SEALS 911, із середньо‑високою впевненістю дійшло висновку, що операцію здійснили ті самі актори загроз, які стояли за жовтневим зламом Radiant Capital у 2024 році.
Раніше Mandiant пов’язала ту атаку з UNC4736 — північнокорейським угрупованням, афілійованим з державою, яке також відстежується як AppleJeus або Citrine Sleet.
Зв’язок ґрунтується як на ончейн‑доказах, так і на операційних шаблонах.
Потоки коштів, використані для підготовки й тестування операції з Drift, ведуть до нападників Radiant, а персони, задіяні в кампанії, перетинаються з відомою активністю, пов’язаною з КНДР. Важливо, що люди, які з’являлися особисто, не були громадянами Північної Кореї — відомо, що актори загроз КНДР такого рівня використовують третіх посередників для очних контактів.
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline