То, что первоначально казалось внезапной эксплуатацией, теперь раскрылось как долгосрочная, высококоординированная операция. Drift Protocol раскрыл, что взлом на 270 миллионов $ был результатом шестимесячной кампании по проникновению, предположительно связанной с северокорейскими государственными субъектами.
Вместо того чтобы эксплуатировать простую уязвимость, злоумышленники медленно завоевывали доверие, выдавая себя за легитимную количественную торговую фирму и встраиваясь в экосистему. Их подход вышел за рамки цифрового обмана. Они напрямую взаимодействовали с участниками, посещали криптоконференции и устанавливали отношения, которые выглядели надежными на всех уровнях.
Это была не атака типа «ударил и убежал». Она была рассчитана, терпелива и предназначена для обхода не только технических средств защиты, но и человеческого доверия.
Первый контакт начинается на криптоконференциях
Операция, как сообщается, началась осенью 2025 года, когда злоумышленники установили первый контакт на крупной криптоконференции. В то время не было никаких немедленных тревожных сигналов. Группа представила себя как технически подкованных профессионалов с проверяемым прошлым.
Они свободно говорили на языке DeFi, демонстрируя глубокое понимание инфраструктуры Drift и торговых механизмов. Этот уровень экспертизы помог им легко смешаться с легитимными участниками и партнерами.
Вскоре после этого общение переместилось в Telegram, где обсуждения продолжались в течение нескольких месяцев. Эти взаимодействия не были поспешными или подозрительными. Вместо этого они отражали ритм реального сотрудничества, включая технические обсуждения, стратегический вклад и постоянное участие.
Поддерживая последовательность и достоверность, злоумышленники постепенно завоевали доверие внутри сообщества.
Создание доверия через капитал и сотрудничество
К январю 2026 года группа еще больше углубила свое участие. Они успешно подключили Экосистему Vault и начали участвовать в рабочих сессиях вместе с участниками Drift.
Что важно, они также внесли реальный капитал, депонировав более 1 миллиона $ собственных средств в протокол. Этот шаг укрепил их легитимность, сигнализируя о том, что они вложились в дело.
В течение февраля и марта участники экосистемы Drift встречались с этими людьми лично в нескольких странах. Эти личные встречи добавили еще один уровень доверия, делая еще менее вероятным, что их намерения будут подвергнуты сомнению.
К моменту проведения атаки отношения между злоумышленниками и сообществом были установлены почти в течение шести месяцев. Это был уровень проникновения, редко встречающийся в эксплуатациях DeFi.
Выполнение атаки с использованием сложных точек входа
Когда компрометация наконец произошла, она произошла через два высокоцелевых вектора.
Первый включал вредоносное приложение TestFlight, представленное как легитимный продукт кошелька. Это позволило злоумышленникам получить доступ к устройствам участников под видом тестирования новых инструментов.
Второй вектор эксплуатировал известную уязвимость в средах разработки, таких как VSCode и Cursor. Этот недостаток, отмеченный сообществом по безопасности месяцами ранее, позволил выполнять произвольный код просто открытием файла.
Вместе эти методы позволили злоумышленникам скомпрометировать ключевые устройства без немедленного вызова подозрений. Оказавшись внутри, они смогли получить доступ к конфиденциальным рабочим процессам и механизмам одобрения.
Этот этап операции подчеркивает критический сдвиг в стратегиях атак. Вместо прямого нацеливания на смарт контракты, злоумышленники все больше фокусируются на человеческих и инструментальных слоях вокруг них.
Слабости Multisig раскрыты в финальном сливе
Получив доступ, злоумышленники перешли к финальной фазе: выполнению.
Они получили два одобрения multisig, которые затем были использованы для авторизации транзакций. Примечательно, что эти транзакции были предварительно подписаны и оставались неактивными более недели, избегая немедленного обнаружения.
1 апреля злоумышленники действовали. Менее чем за минуту примерно 270 миллионов $ были слиты из хранилищ Drift.
Скорость и точность исполнения оставили мало места для вмешательства. К моменту распознавания транзакций средства уже были перемещены.
С тех пор Drift предупредил, что этот инцидент раскрывает фундаментальные слабости в моделях безопасности на основе multisig. Хотя системы multisig предназначены для распределения доверия, они остаются уязвимыми, когда сами подписанты скомпрометированы.
Всплывают связи с северокорейскими государственными субъектами
Расследования атаки связали операцию с UNC4736, группой, также известной как AppleJeus или Citrine Sleet. Эта организация широко связана с северокорейскими кибероперациями и была связана с предыдущими громкими эксплуатациями, включая атаку Radiant Capital.
Интересно, что лица, которые непосредственно взаимодействовали с участниками Drift, не были идентифицированы как граждане Северной Кореи. Вместо этого они, похоже, были сторонними посредниками, оснащенными тщательно сконструированными личностями, предназначенными для противостояния проверке.
Этот многоуровневый подход делает атрибуцию более сложной, одновременно повышая эффективность операции. Отделяя действующих на местах субъектов от координирующей организации, злоумышленники смогли поддерживать правдоподобную легитимность на протяжении всего проникновения.
Тревожный звонок для моделей безопасности DeFi
Эксплуатация Drift заставляет индустрию столкнуться с неудобной реальностью. Традиционные модели безопасности, ориентированные на аудиты кода, уязвимости смарт контрактов и защиту multisig, могут быть недостаточными для защиты от противников, готовых инвестировать время, деньги и человеческие ресурсы.
Если злоумышленники могут потратить шесть месяцев на построение отношений, развертывать капитал для завоевания доверия и физически встречаться с командами, поверхность атаки выходит далеко за пределы кода.
Это поднимает критический вопрос для экосистемы DeFi: какого рода структура безопасности может обнаружить и предотвратить этот уровень проникновения?
На данный момент инцидент является одной из самых сложных эксплуатаций, основанных на социальной инженерии, в истории криптовалют. Он подчеркивает необходимость более целостного подхода к безопасности, который учитывает человеческое поведение, операционные процессы и все более размытые границы между онлайн и офлайн взаимодействиями.
По мере того как протоколы продолжают расти и привлекать больше капитала, ставки будут только расти. И, как показывает этот случай, следующее поколение атак может прийти не от анонимных кошельков, а от доверенных партнеров, сидящих за столом.
Раскрытие информации: это не торговая или инвестиционная консультация. Всегда проводите собственное исследование перед покупкой любой криптовалюты или инвестированием в любые услуги.
Следите за нами в Twitter @nulltxnews чтобы оставаться в курсе последних новостей о криптовалютах, NFT, AI, кибербезопасности, распределенных вычислениях и Metaverse!
Источник: https://nulltx.com/north-korea-linked-group-behind-270m-drift-hack-six-month-plot-revealed/
