Drift заявила, что взлом на $270 млн был шестимесячной операцией КНДР

Drift сообщила, что эксплойт на $270 млн оказался результатом шестимесячной операции, связанной с северокорейской разведкой. Речь идет о тщательно спланированной кампании, детали которой команда протокола опубликовала в воскресенье.

По данным Drift, злоумышленники впервые вышли на контакт осенью 2025 года на одной из крупных криптоконференций. Они представились количественной трейдинговой фирмой, заинтересованной в интеграции с протоколом. На первый взгляд, стандартный онбординг партнёров в DeFi, ничего подозрительного.

Группа демонстрировала высокий технический уровень, имела проверяемый профессиональный бэкграунд и хорошо понимала, как устроен протокол. Вскоре был создан Telegram-чат. Дальше месяцы предметных обсуждений: торговые стратегии, интеграция vault’ов, рабочие процессы. Всё выглядело как нормальная операционка в индустрии, без красных флагов.

В период с декабря 2025 года по январь 2026 года эта команда развернула собственный Ecosystem Vault в Drift. Они провели немного рабочих сессий с контрибьюторами, внесли больше $1 млн собственного капитала и фактически выстроили полноценное присутствие внутри экосистемы. Не просто поговорили, а реально зашли в продукт.

Контрибьюторы Drift встречались с представителями группы персонально, на крупных индустриальных ивентах в разных странах. Это происходило вплоть до февраля и марта. К моменту атаки, которая произошла 1 апреля, отношения длились уже почти полгода. Доверие, по сути, было выстроено.

Команда выделяет два вектора компрометации. Один из участников скачал приложение через TestFlight, это платформа Apple для распространения предрелизных приложений, которая обходит стандартную модерацию App Store. Именно его группа представила как собственный кошелёк. Второй вектор связан с репозиторием. Drift указала на известную уязвимость в VSCode и Cursor, одних из самых популярных редакторов кода. Сообщество безопасности предупреждало о ней ещё с конца 2025 года. Суть проста и неприятна: достаточно открыть файл или папку, чтобы без какого-либо уведомления исполнился произвольный код. Никаких алертов, тихий execution.

ТОП-3 трейдеры

1

Kensai

Проверен

4.90

4.90

Отзывы 346 Обзор

2

Гармония Капитала

Проверен

4.77

4.77

Отзывы 239 Обзор

3

Dexylon

Проверен

4.67

4.67

Отзывы 284 Обзор

После компрометации устройств злоумышленники получили доступ к тому, что им было нужно, двум подписям мультисиг-кошелька. Именно они позволили провести атаку с использованием durable nonce, ту самую, о которой ранее писал CoinDesk. Предподписанные транзакции пролежали больше недели без движения, а затем были активированы 1 апреля. За менее чем минуту из vault’ов вывели $270 млн, чистый дренаж.

Атрибуция указывает на группу UNC4736, структуру, связанную с государством КНДР, также известную как AppleJeus или Citrine Sleet. На это указывают как ончейн-трассировки средств, ведущие к атакующим Radiant Capital, так и операционные пересечения с уже известными персонами, связанными с DPRK.

При этом люди, которые лично появлялись на конференциях, не были гражданами Северной Кореи. Для подобных операций это типичная практика, используются посредники с полностью проработанными легендами, от трудовой истории до профессиональных контактов. Всё сделано так, чтобы пройти любой due diligence без лишних вопросов.

Drift призвала другие протоколы пересмотреть контроль доступа и исходить из того, что любое устройство, имеющее отношение к мультисигу, может стать точкой атаки.

Более широкий вывод, который здесь напрашивается, мягко говоря, некомфортный для индустрии. Мультисиг долго считался базовой моделью безопасности в DeFi. Но если атакующие готовы тратить полгода, инвестировать собственный капитал, выстраивать репутацию внутри экосистемы, встречаться лично и терпеливо ждать, возникает закономерный вопрос: какая именно модель безопасности способна это отловить?