Взлом Drift Protocol на сумму 285 миллионов долларов готовился шесть месяцев, обвинила северокорейская группировка.

1 апреля 2026 г. эксплуатировать of SolanaАтака с использованием протокола Drift, в результате которой с платформы было выведено около 285 миллионов долларов, не была спонтанной. Согласно предварительным данным Drift, расследованииЭто стало результатом структурированной разведывательной операции, начавшейся как минимум за шесть месяцев до этого, и с высокой степенью достоверности приписывается UNC4736, связанной с северокорейским государством группе угроз, также известной как AppleJeus или Citrine Sleet.

Как на самом деле начался взлом протокола Drift?

По словам команды Drift Protocol, операция началась на крупной криптоконференции осенью 2025 года, где лица, представлявшие себя как фирмы, занимающиеся количественной торговлей, обратились к участникам проекта Drift. За этим последовала не быстрая фишинговая атака. Это была целенаправленная, многомесячная кампания по налаживанию отношений, проводившаяся в ходе многочисленных личных встреч на различных отраслевых конференциях в разных странах.

Группа обладала техническими навыками, имела подтвержденный профессиональный опыт и продемонстрировала глубокое понимание принципов работы Drift. После первой встречи была создана группа в Telegram, и содержательные дискуссии о торговых стратегиях и интеграции хранилища продолжались в течение нескольких месяцев. Команда Drift отметила, что это взаимодействие полностью соответствовало тому, как легитимные торговые фирмы обычно взаимодействуют с протоколом.

С декабря 2025 года по январь 2026 года группа подключила хранилище экосистемы на платформе Drift. Этот процесс включал в себя предоставление подробной информации о стратегии через официальную форму заявки, участие в многочисленных рабочих сессиях с участниками Drift и внесение более 1 миллиона долларов собственных средств. Они целенаправленно и терпеливо создали функционирующее операционное присутствие внутри протокола.

Последние месяцы перед эксплуатацией

Переговоры об интеграции продолжались в течение февраля и марта 2026 года. Участники проекта Drift снова встретились лично с отдельными лицами из группы на крупных отраслевых мероприятиях. К апрелю отношениям было уже почти шесть месяцев. Это были не незнакомцы. Это были люди, с которыми команда Drift работала и с которыми встречалась лично неоднократно.

В течение этого периода группа обменивалась ссылками на проекты, инструменты и приложения, которые, как они утверждали, разрабатывали. Обмен такими ресурсами является стандартной практикой в ​​отношениях между торговыми компаниями, и именно это сделало его эффективным механизмом доставки.

Каковы были технические векторы атаки?

После атаки 1 апреля компания Drift провела криминалистический анализ затронутых устройств, учетных записей и истории переписки. Чаты в Telegram и вредоносное программное обеспечение, использованное группой, были полностью удалены в момент атаки. В ходе расследования Drift выявила три вероятных вектора вторжения:

• Возможно, один из участников проекта был взломан после клонирования репозитория кода, которым группа поделилась, представив его как инструмент развертывания интерфейса для своего хранилища.
• Второго участника побудили загрузить приложение TestFlight, которое группа описала как свой «кошелек». TestFlight — это платформа Apple для распространения бета-версий приложений iOS до их публичного выпуска.
• В случае вектора атаки, связанного с репозиторием, вероятным механизмом была известная уязвимость в редакторах кода VSCode и Cursor, на которую исследователи безопасности активно указывали в период с декабря 2025 года по февраль 2026 года. Открытие файла, папки или репозитория в затронутом редакторе было достаточным для незаметного выполнения произвольного кода без каких-либо подсказок, предупреждений, диалоговых окон с запросом разрешений или каких-либо видимых указаний для пользователя.

На момент публикации полный криминалистический анализ поврежденного оборудования еще продолжался.

Насколько быстро была совершена атака?

Подготовка заняла шесть месяцев, но реализация была быстрой. После захвата административного контроля над протоколом реальные средства пользователей были выведены менее чем за 12 минут. Общая заблокированная стоимость (TVL) Drift упала с примерно 550 миллионов долларов до менее чем 300 миллионов долларов менее чем за час. Токен DRIFT упал более чем на 40% во время инцидента. Компания PeckShield подтвердила, что общие потери превысили 285 миллионов долларов, что составляет более 50% от TVL протокола на тот момент.

Команда Drift во время хаоса опубликовала сообщение на X, чтобы прояснить ситуацию: «Это не первоапрельская шутка. Будьте осторожны до дальнейшего уведомления». Все депозиты и снятия средств были приостановлены на время проведения расследования.

Откройте для себя перспективные проекты...

Перспективные проекты...

(Рекламное объявление)

Продолжение статьи...

Куда делись 285 миллионов долларов?

Злоумышленник быстро скрыл следы средств после взлома. Украденные активы были конвертированы в USDC и SOL, а затем переведены из Solana в Ethereum с использованием протокола межсетевых переводов Circle (CCTP). CCTP — это собственная инфраструктура Circle, позволяющая перемещать USDC между различными блокчейнами без обертывания. В сети Ethereum средства были конвертированы в ETH. Отслеживание в блокчейне подтвердило, что в конечном итоге злоумышленник накопил 129 066 ETH, что на тот момент составляло приблизительно 273 миллиона долларов.

Злоумышленник также разместил SOL на платформах HyperLiquid и Binance, распространив активность на несколько платформ и усложнив отслеживание транзакций.

Достаточно ли быстро отреагировала компания Circle?

Исследователь блокчейна ZachXBT публично раскритиковал Circle после взлома, указав на то, что крупные суммы украденных USDC были переведены из Solana в Ethereum в рабочее время в США без заморозки. ZachXBT сравнил это с недавним решением Circle заморозить 16 не связанных между собой корпоративных горячих кошельков в рамках закрытого гражданского дела в США, утверждая, что Circle обладала как техническими возможностями, так и явным прецедентом для вмешательства, но не приняла достаточно быстрых мер, чтобы ограничить ущерб.

Кто стоит за этим нападением?

С высокой степенью уверенности, подтвержденной расследованиями, проведенными группой SEALS 911, расследование Drift приписывает операцию тем же злоумышленникам, которые ответственны за взлом Radiant Capital в октябре 2024 года. Mandiant официально приписала эту атаку группе UNC4736, связанной с северокорейским государством.

Основой для этой связи являются как внутрисетевые, так и операционные процессы. Потоки средств, использованные для подготовки и тестирования операции Drift, отслеживаются до кошельков, связанных с злоумышленниками из Radiant. Кроме того, используемые в ходе кампании Drift персонажи имеют явные совпадения с известными моделями активности, связанными с КНДР.

Важное уточнение от команды Drift: лица, лично присутствовавшие на конференциях, не были гражданами Северной Кореи. На этом уровне операций известно, что связанные с КНДР злоумышленники используют сторонних посредников для налаживания личных контактов, держа непосредственных агентов на расстоянии.

Компания Mandiant официально привлечена к расследованию, но пока не предоставила официального подтверждения причастности к уязвимости Drift. Для этого необходимы результаты анализа устройства, который продолжается.

Текущие меры реагирования

На момент публикации компания Drift предприняла следующие шаги:

• Все оставшиеся функции протокола заморожены.
• Взломанные кошельки были удалены из мультиподписной системы.
• Кошельки злоумышленников были обнаружены на различных биржах и у операторов мостовых соединений.
• Компания Mandiant привлечена в качестве основного партнера по судебно-медицинской экспертизе.

Компания Drift заявила, что публикует эти подробности, чтобы другие команды в экосистеме могли понять, как на самом деле выглядит этот тип атаки, и предпринять соответствующие шаги для защиты.

Заключение

Взлом Drift Protocol — это не история об уязвимости кода, которая осталась незамеченной при проверке. Это история о продолжительном обмане со стороны людей. Злоумышленники потратили шесть месяцев на создание доверия посредством личных встреч, работающей интеграции с хранилищем и более 1 миллиона долларов собственных средств, прежде чем за 12 минут вывели из системы 285 миллионов долларов.

 Технические средства, такие как хранилище вредоносного кода и поддельное приложение TestFlight, оказались эффективными именно потому, что для их открытия уже был тщательно сформирован необходимый уровень доверия. 

Для протоколов DeFi урок очевиден: поверхность атаки не ограничивается смарт-контрактами. Она включает в себя каждое устройство участника, каждый сторонний репозиторий и каждую связь, установленную на отраслевой конференции. UNC4736 уже дважды продемонстрировал это: сначала на Radiant Capital в октябре 2024 года, а затем на Drift в апреле 2026 года, каждый раз используя тот же терпеливый подход, подкрепленный ресурсами.

Ресурсы

1. Протокол дрейфа на X: Сообщение от 5 марта

2. PeckShield на X: Сообщения (1-2 апреля)

3. Lookonchain на X: Сообщения (1-2 апреля)