Шестимісячна операція з розвідки передувала експлойту на $270 мільйонів протоколу Drift Protocol і була виконана групою, пов’язаною з державою Північної Кореї, повідомляє детальне оновлення інциденту, опубліковане командою раніше в неділю.
Зловмисники вперше вийшли на контакт приблизно восени 2025 року на великій криптоконференції, представляючись як кількісна (quantitative) торгова компанія, яка прагне інтегруватися з Drift.
Вони були технічно підкованими, мали верифіковані професійні бэкграунди та розуміли, як працює протокол, заявив Drift. Була створена телеграм-група, а далі — місяці змістовних розмов щодо торгових стратегій і інтеграцій з сейфами (vaults), взаємодій, які є типовими для того, як торгові компанії підключаються до DeFi-протоколів.
У період між груднем 2025 року та січнем 2026 року група підключила Ecosystem Vault на Drift, провела кілька робочих сесій із залученими учасниками, внесла понад $1 мільйон власного капіталу та побудувала функціональну операційну присутність усередині екосистеми.
Учасники Drift зустрічалися з людьми з цієї групи наживо на кількох великих галузевих конференціях у кількох країнах аж до лютого та березня. На момент запуску атаки 1 квітня відносинам було майже пів року.
Компрометацію, схоже, спричинили два вектори.
Другий завантажив застосунок TestFlight — платформу Apple для розповсюдження попередніх релізних застосунків, яка обходить перевірку безпеки App Store, і яку група представила як свій продукт-гаманець (wallet).
Щодо вектора через репозиторій, Drift вказав на відому вразливість у VSCode та Cursor — двох із найпоширеніших редакторів коду в розробці ПЗ, — яку спільнота з безпеки відстежувала ще з кінця 2025 року. Там було достатньо просто відкрити файл або папку в редакторі, щоб безшумно виконати довільний код без будь-якого запиту чи попередження.
Коли пристрої були скомпрометовані, нападникам уже було що потрібно, щоб отримати дві мультипідписні (multisig) згоди, які дали змогу здійснити атаку з тривалим nonce (durable nonce attack), про яку CoinDesk детально писав раніше цього тижня. Ці наперед підписані транзакції понад тиждень пролежали без дій, перш ніж їх виконали 1 квітня, вивівши $270 мільйонів із сейфів (vaults) протоколу менш ніж за хвилину.
Атрибуція вказує на UNC4736 — групу, пов’язану з урядом Північної Кореї, яку також відстежують як AppleJeus або Citrine Sleet, на основі як on-chain потоків коштів, що простежуються до атакувальників Radiant Capital, так і операційного збігу з відомими персонажами, пов’язаними з DPRK.
Однак люди, які з’являлися особисто на конференціях, не були громадянами Північної Кореї. Відомо, що загрозливі актори рівня DPRK розгортають сторонніх посередників із повністю сформованими ідентичностями, історіями працевлаштування та професійними мережами, побудованими так, щоб витримувати due diligence.
Drift закликав інші протоколи перевірити контроль доступу й ставитися до кожного пристрою, що торкається multisig, як до потенційної цілі. Більш широкий висновок є неприємним для індустрії, яка покладається на multisig-управління як на свою основну модель безпеки.
Але якщо атакувальники готові витратити шість місяців і мільйон доларів, щоб створити законну присутність в екосистемі, зустрічатися з командами наживо, вносити реальний капітал і чекати, то постає питання: яка модель безпеки призначена для того, щоб це ловити.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
