Взлом Drift Protocol на $280 млн связали с северокорейской группировкой Lazarus

Кибербезопасники из Diverg, TRM Labs и Elliptic пришли к выводу, что за эксплойтом DeFi-протокола Drift Protocol на $280 млн стоит северокорейская хакерская группировка Lazarus, также известная как TraderTraitor. Та же группа ранее осуществила атаки на Bybit ($1,5 млрд) и Ronin ($625 млн).

«1/10 We've been investigating the @DriftProtocol exploit ($285M) since April 1. We can confirm along with TRM Labs and Elliptic that North Korea's Lazarus Group (TraderTraitor). Same unit behind Bybit ($1.5B), Ronin ($625M). Was involved. Here's what our independent on-chain…» — Diverg (@DivergSec), оригинальный пост

Почему это важно

Drift стал уже 18-й жертвой Lazarus с начала 2026 года, по данным Elliptic. Масштаб операций северокорейских хакеров продолжает расти — от централизованных бирж до DeFi-протоколов. Группировка демонстрирует способность адаптироваться к новым архитектурам безопасности: злоумышленник дважды скомпрометировал мультисиг Drift, включая обновлённую версию, внедрённую всего за три дня до повторного взлома.

Хронология подготовки к атаке

Расследование показало, что подготовка началась задолго до самого эксплойта. 11 марта хакер вывел 10 ETH через Tornado Cash в 15:24 по времени Пхеньяна. Средства прошли через цепочку одноразовых кошельков и кроссчейн-мостов.

Уже 12 марта на адрес для эмиссии токенов поступило 50 SOL, и к 09:58 по корейскому времени злоумышленник сгенерировал 750 млн поддельных токенов CVT. Аналогичный адрес использовался и в сети BSC — на него было зачислено 31,125 BNB через подписанную транзакцию из MetaWallet, после чего средства направились по маршруту, идентичному Ethereum.

Аналитики уточнили ранние ошибочные сообщения о финансировании атаки. Первоначально утверждалось, что хакер использовал 30 ETH из трёх выводов через Tornado Cash. На деле атакующему принадлежала лишь одна транзакция на 10 ETH — две другие были связаны с сервисом для отравления адресов.

27 марта команда Drift обновила правила Совета безопасности: для подтверждения транзакции требовалось две подписи из пяти, а исполнение происходило мгновенно. Однако спустя всего три дня злоумышленник повторно взломал обновлённый мультисиг, задействовав механизм отложенной подписи.

Схема вывода похищенных активов

Специалисты Diverg восстановили полную картину вывода средств через публичный API CoW Protocol. В течение 30 минут через веб-интерфейс CoW Swap хакер разместил 10 ордеров, конвертировав $14,6 млн USDC и 99,8 WBTC примерно в 13 150 ETH. Все 10 транзакций подтверждены ончейн.

Вторичный кошелёк-накопитель получил средства из двух источников:

• 390,86 ETH из Chainflip Vault;
• 846 000 USDC через Circle CCTP, впоследствии конвертированные в 397 ETH через CoW Protocol.

В общей сложности 788 ETH были переведены на удерживающий адрес.

Характерный почерк Lazarus

Все подтверждённые действия хакера укладываются в рабочие часы Пхеньяна и совершались исключительно по будням. Методы атаки полностью соответствуют известному профилю Lazarus:

• подготовительный этап через Tornado Cash;
• социальная инженерия (фальшивые предложения о работе — аналогично инциденту с Bybit SafeWallet);
• быстрый перевод средств через несколько блокчейнов в Ethereum;
• удержание похищенных активов.

При этом в случае с Drift группировка применила новую тактику — выпуск фальшивых токенов CVT и подмену данных оракула для искусственного завышения стоимости залога.

Ранее, в марте 2026 года, Lazarus также заподозрили в атаке на криптовалютный интернет-магазин Bitrefill.