В Drift Protocol раскрыли детали взлома на $280 млн

северокорейские хакеров North Korean hackers

Хакеры полгода лично общались с командой проекта

Хакерская атака на Drift Protocol являлась «структурированной операцией по проникновению, потребовавшей организационной поддержки, значительных ресурсов и нескольких месяцев тщательной подготовки».

https://t.co/qYBMCup9i6

Согласно заявлению команды проекта, за произошедший 1 апреля инцидент с ущербом около $280 млн несет ответственность группировка из Северной Кореи. На планирование и реализацию атаки они потратили полгода. 

Внедрение

По словам представителей Drift, осенью 2025 года на одной из тематических конференций к ним обратились люди от лица неназванной торговой компании, выразив желание интегрироваться в протокол.

Как выяснилось, преступники целенаправленно отслеживали участников проекта и входили к ним в доверие.

«Они обладали техническими навыками, имели подтвержденный профессиональный опыт и были знакомы с принципами работы Drift. После первой встречи мы создали группу в Telegram, за этим последовали месяцы содержательных обсуждений торговых стратегий и потенциальной интеграции хранилища», — отметила команда. 

После подставная компания начала подключать собственные хранилища к Drift, для чего потребовалось заполнить форму с подробным описанием стратегии. Кроме того, они вложили более $1 млн собственных средств в экосистему.

Тесное общение между разработчиками и злоумышленниками продолжалось примерно до конца марта. После атаки все общие чаты и контакты удалили.

«Это были не незнакомцы, а люди, с которыми участники проекта работали и встречались лично. На протяжении всего этого процесса распространялись ссылки на проекты, инструменты и приложения», — подчеркнули в Drift. 

Механизмы взлома

Как сообщалось ранее, хакеры получили доступ к депозитарным хранилищем через создание поддельных отложенных подписей. Сейчас команда выделила три вероятных вектора атаки:

В Drift продолжают криминалистический анализ затронутого оборудования. Содействие в расследовании оказывают специалисты SEALS 911 и правоохранительные органы. 

Официальный источник уязвимости пока не выявлен. Работа протокола по-прежнему приостановлена.

Конкретный виновник

Полученные в ходе следствия данные позволили связать атаку с группировкой UNC4736 — северокорейской государственной структурой, также известной как AppleJeus или Citrine Sleet. 

Эти же преступники предположительно стояли за взломом Radiant Capital на более чем $50 млн в октябре 2024 года. Их отследили по ончейн-данным, которые указали на общие денежные потоки, а также по связанным с ними реальным личностям. 

Для внедрения в Drift преступники предоставляли полностью сфабрикованные данные, включая историю трудоустройства, персональную информацию и профессиональные контакты. 

«Важно отметить: встречавшиеся [с представителями Drift] лица не являлись гражданами Северной Кореи. Известно, что северокорейские террористы, действующие на этом уровне, используют посредников для налаживания личных контактов», — отметили в компании. 

Напомним, в марте группировку из КНДР заподозрили в атаке на криптовалютный интернет-магазин Bitrefill. 

Источник: https://forklog.com/news/v-drift-protocol-raskryli-detali-vzloma-na-280-mln

Наверх