На выходных команда, стоящая за Drift — криптопротоколом для торговли бессрочными фьючерсами на Solana, — предоставила обновленную информацию об атаке на проект, произошедшей 1 апреля. В отчете источником атаки названа шестимесячная разведывательная операция, проводимая преступной хакерской группировкой, связанной с северокорейским режимом. Однако некоторые наблюдатели также указывают на команду Drift, обвиняя ее в некомпетентности или чем-то похуже.
В результате взлома из хранилищ Drift, где находились стейблкоины вроде USDC, а также JLP, SOL и другие криптоактивы, было выведено около 285 миллионов долларов. Полную последовательность событий восстановили две фирмы по отслеживанию блокчейна: TRM Labs и Elliptic.
Все началось в середине марта 2026 года. Злоумышленники сначала перевели средства через сервис микширования Tornado Cash, чтобы замести следы, и создали специальные учетные записи, которые позволили им заранее подготовить определенные транзакции. 27 марта команда безопасности Drift перешла на новую систему одобрения, требующую подписи только двух из пяти ключевых держателей для внесения серьезных изменений, и убрала любой встроенный период ожидания, который мог бы вызвать оповещение. Затем хакеры создали 750 миллионов совершенно новых фальшивых токенов под названием CarbonVote Token, или CVT. Они манипулировали торговой активностью так, что инструменты проверки цен Drift посчитали эти ничего не стоящие токены законным, высоколиквидным обеспечением, способным гарантировать огромные выводы средств.
1 апреля они запустили заранее подготовленные транзакции. Это позволило им добавить фальшивый токен на платформу, увеличить лимиты заимствования, сбросить в систему сотни миллионов поддельных токенов и вывести реальные активы посредством 31 быстрой транзакции. Весь процесс занял около 12 минут. Украденные средства они быстро обменяли на USDC на бирже Solana и перевели все в сеть Ethereum, чтобы скрыть следы.
I beg everyone in crypto to read this in full.
I expected this to be another case of social engineering, likely some recruiter/job offer shit.
I was very wrong.
And the depth of the operation and personas makes me think they already have multiple other teams on lock.
— Tay 💖 (@tayvano_) April 5, 2026
Примечательно, что такой подход перекликается с недавней уязвимостью в протоколе Resolv и его стейблкоине USR. Там злоумышленник получил контроль над привилегированным ключом подписи AWS, выпустил почти 80 миллионов новых токенов USR, обеспеченных лишь несколькими сотнями тысяч долларов реального обеспечения, и обналичил около 25 миллионов долларов. Оба случая основывались на доступе к закрытому ключу, а не на чистой уязвимости кода, в сочетании с возможностью выпускать или использовать в качестве обеспечения активы, далеко превышающие обычные лимиты.
TRM Labs и Elliptic заявили о северокорейской связи в течение нескольких дней после инцидента 1 апреля. Среди индикаторов были ончейн-подготовка, соответствующая местному времени Пхеньяна, и поведенческие паттерны, совпадающие с предыдущей деятельностью, связанной с КНДР.
Публичное обновление Drift в X предоставило более подробную информацию о том, как предположительно разворачивалась операция в течение шести месяцев. Осенью 2025 года лица, выдававшие себя за представителей фирмы количественной торговли, связались с участниками Drift на крупной криптоконференции. Они продолжили общение лично на мероприятиях в разных странах, создали группу в Telegram, обсуждали подробные торговые стратегии и интеграции хранилищ, и даже подключили собственное Хранилище Экосистемы с депозитами более чем на 1 миллион долларов. Обсуждения и обмен ресурсами выглядели рутинными для легитимных контрагентов. После взлома группа удалила свою историю в Telegram и любое связанное программное обеспечение.
Судебно-медицинская экспертиза указала на три возможных вектора компрометации закрытого ключа, задействованного в атаке: один из участников мог клонировать репозиторий кода, использовавший известную уязвимость VSCode или Cursor, позволяющую незаметно выполнять произвольный код; второго убедили загрузить приложение TestFlight, представленное как кошелек фирмы; а третий вектор все еще активно изучается правоохранительными органами. С уверенностью от средней до высокой команда SEAL 911 отнесла эту операцию на счет тех же государственных структур КНДР, которые стояли за взломом Radiant Capital в октябре 2024 года. Кроме того, участвовавшие лично лица не были гражданами Северной Кореи, а являлись посредниками третьих сторон — тактика, соответствующая методам КНДР.
The more I sit on this, the more I can’t help but think we’re dealing with a civil negligence issue.
Sorry for how long this rant will be in advance, but I’m just so angry.
Drift Protocol was handling hundreds of millions in user money. They knew crypto is full of hackers -… https://t.co/qhdzuII0gc
— Ariel Givner (@GivnerAriel) April 5, 2026
Что касается вины команды Drift в этом инциденте, некоторые задались вопросом, почему протокол, управляющий сотнями миллионов, разрешил загрузку непроверенных приложений, таких как кошелек TestFlight, на оборудование, связанное с мультиподписью. Другие подчеркнули отсутствие более строгого разделения между средами разработки и ключами подписи, утверждая, что базовая операционная безопасность должна была предотвратить взлом независимо от изощренности злоумышленника. «Чем больше я об этом думаю, тем больше мне кажется, что мы имеем дело с проблемой гражданской халатности», — написала в X криптоюрист Ариэль Гивнер.
В то же время исследователи безопасности предупредили, что подлинная шестимесячная разведывательная кампания такого масштаба свидетельствует о том, что аналогичные операции уже могут проводиться против других проектов. Уровень терпения и вложенных ресурсов подразумевает, что действующие лица не ограничились одной целью.
Северная Корея годами полагается на кражу криптовалют как на постоянный механизм финансирования. К прошлым крупным инцидентам относятся вывод более 600 миллионов долларов из Ronin Network в 2022 году и неоднократные компрометации бирж. В 2025 году хакеры режима установили новый годовой рекорд, похитив 2,02 миллиарда долларов, согласно отчету Chainalysis.
Сочетание обмана, удаленного сотрудничества и высоких финансовых ставок в криптосфере создает условия, в которых решительные, изощренные группы, включая разведывательные агентства, могут месяцами выстраивать доверие, прежде чем нанести удар. А когда на кону сотни миллионов или даже миллиарды, субъекты будут добиваться атак исчерпывающими, доскональными методами. Данные также ясно показывают, что преступное использование криптовалют растет, поскольку как незаконные переводы, так и физические нападения на известных держателей криптовалюты достигли новых исторических максимумов в прошлом году.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Kyle Torpey
