Drift Protocol раскрыл подробности взлома на $280 млн: за атакой стоит северокорейская группировка

Полгода подготовки и личные встречи: как хакеры проникли в Drift Protocol

Команда Drift Protocol обнародовала детали расследования хакерской атаки, в результате которой проект лишился около $280 млн. По данным разработчиков, за инцидентом, произошедшим 1 апреля, стоит группировка из Северной Кореи, потратившая на планирование и проведение операции около шести месяцев.

«https://t.co/qYBMCup9i6» — Drift (@DriftProtocol), оригинальный пост

В заявлении Drift атака охарактеризована как «структурированная операция по проникновению, потребовавшая организационной поддержки, значительных ресурсов и нескольких месяцев тщательной подготовки».

Как злоумышленники внедрились в проект

Согласно описанию команды, осенью 2025 года на одной из профильных конференций к представителям Drift обратились люди, действовавшие от имени неназванной торговой компании. Они заявили о намерении интегрироваться в протокол. Впоследствии выяснилось, что преступники целенаправленно отслеживали участников проекта и выстраивали с ними доверительные отношения.

Команда Drift указала, что эти люди демонстрировали технические компетенции, подтверждённый профессиональный опыт и понимание принципов работы протокола. После первого контакта был создан общий чат в Telegram, и на протяжении нескольких месяцев стороны обсуждали торговые стратегии и возможную интеграцию хранилища.

Далее подставная компания приступила к подключению собственных хранилищ к Drift, заполнив необходимую форму с описанием стратегии. Более того, злоумышленники инвестировали свыше $1 млн собственных средств в экосистему проекта — очевидно, для укрепления доверия.

Тесное взаимодействие между разработчиками и атакующими продолжалось примерно до конца марта. После проведения атаки все совместные чаты и контактные данные были удалены. Команда Drift подчеркнула, что речь шла не о незнакомцах, а о людях, с которыми участники проекта работали и встречались лично. На протяжении всего периода общения злоумышленники распространяли ссылки на проекты, инструменты и приложения.

Три вектора атаки

Ранее сообщалось, что хакеры получили доступ к депозитарным хранилищам путём создания поддельных отложенных подписей. Теперь команда выделила три вероятных направления проникновения:

• Один из сотрудников предположительно стал жертвой компрометации после клонирования репозитория кода — это было замаскировано под развёртывание интерфейса для хранилища.
• Другого участника проекта убедили установить вредоносное приложение TestFlight, представленное как электронный кошелёк.
• В репозиториях предположительно содержалась уязвимость, позволявшая при простом открытии файла, папки или документа в редакторе незаметно выполнить произвольный код.

Drift продолжает криминалистический анализ затронутого оборудования. В расследовании участвуют специалисты SEALS 911 и правоохранительные органы. Конкретный источник уязвимости до сих пор не установлен, а работа протокола остаётся приостановленной.

Почему это важно

Данный инцидент демонстрирует эволюцию хакерских атак на криптопроекты — от технического взлома к долгосрочным операциям с элементами социальной инженерии. Злоумышленники потратили полгода и более $1 млн на внедрение, что свидетельствует о растущей изощрённости подобных атак. Для всей DeFi-индустрии это сигнал о необходимости пересмотра процедур проверки контрагентов, даже если речь идёт о компаниях с убедительным профессиональным профилем.

Кто стоит за атакой

Собранные в ходе расследования данные указали на группировку UNC4736 — северокорейскую государственную структуру, также фигурирующую под названиями AppleJeus и Citrine Sleet. Эту же группировку связывают со взломом Radiant Capital на сумму более $50 млн в октябре 2024 года.

Связь установили по ончейн-данным, выявившим общие денежные потоки, а также по идентифицированным реальным личностям, связанным с группировкой. Для проникновения в Drift преступники использовали полностью сфабрикованные данные — фиктивную историю трудоустройства, персональную информацию и профессиональные контакты.

Команда Drift уточнила, что лица, лично встречавшиеся с представителями проекта, не являлись гражданами Северной Кореи. Северокорейские операторы такого уровня, по имеющимся данным, привлекают посредников для установления личных контактов.

Ранее, в марте, группировку из КНДР заподозрили в атаке на криптовалютный интернет-магазин Bitrefill.