Drift Protocol: разбор атаки на $280M — спланированная операция северокорейских хакеровDrift активно работает с правоохранительными органами, криминалистическими партнёрами и командами экосистемы, чтобы составить полную картину произошедшего во время атаки 1 апреля.
По мере продолжения расследования атаки, произошедшей 1 апреля 2026 года, совместно с криминалистическими партнёрами появилась возможность поделиться дополнительными деталями о векторе атаки и о том, как эта операция была подготовлена. Drift публикует это, потому что другие команды в экосистеме заслуживают понимания того, как на самом деле выглядела эта атака, и должны иметь возможность защитить себя. Некоторые детали остаются на высоком уровне для защиты целостности активного расследования.
Все оставшиеся функции протокола заморожены, скомпрометированные кошельки удалены из мультисига. Кошельки атакующих помечены на биржах и у операторов мостов.
К расследованию привлечена компания Mandiant.
Хронология операцииПредварительное расследование показывает, что Drift подвергся структурированной разведывательной операции, требовавшей организационной поддержки, значительных ресурсов и месяцев целенаправленной подготовки.
Осень 2025Примерно осенью 2025 года к контрибьюторам Drift на крупной криптоконференции обратилась группа лиц, представившихся количественной трейдинговой фирмой, желающей интегрироваться с протоколом. Теперь понятно, что это был целенаправленный подход — люди из этой группы продолжали намеренно искать и вовлекать конкретных контрибьюторов Drift лично на нескольких крупных отраслевых конференциях в разных странах на протяжении следующих шести месяцев.
Они были технически грамотны, имели проверяемый профессиональный бэкграунд и были знакомы с тем, как работает Drift. Была создана группа в Telegram, и последовали месяцы содержательных разговоров о торговых стратегиях и потенциальных интеграциях хранилищ.
Декабрь 2025 — Март 2026С декабря 2025 по январь 2026 года они подключили Ecosystem Vault на Drift, что потребовало заполнения формы с деталями стратегии. Они общались с несколькими контрибьюторами через рабочие сессии, задавали детальные и компетентные вопросы о продукте и внесли более $1M собственного капитала. Они целенаправленно и терпеливо выстраивали функционирующее операционное присутствие внутри экосистемы Drift.
Обсуждения интеграции продолжались в феврале и марте 2026 года. Различные контрибьюторы Drift снова встречались с представителями этой группы лично на нескольких конференциях. К этому моменту отношениям было почти полгода — это были не незнакомцы, а люди, с которыми контрибьюторы работали и встречались лично.
На протяжении всего этого времени передавались ссылки на проекты, инструменты и приложения, которые они якобы разрабатывали.
ЛовушкаПосле того как 1 апреля произошёл эксплойт, было проведено тщательное криминалистическое исследование известных затронутых устройств, учётных записей и историй общения. Взаимодействие с этой трейдинговой группой стало рассматриваться как вероятный вектор проникновения. Как только эксплойт сработал, их чаты в Telegram и вредоносное ПО были полностью зачищены.
Выявлены три вектора атаки:
— Один контрибьютор мог быть скомпрометирован после клонирования репозитория с кодом, представленного группой под видом фронтенда для их хранилища
— Второй контрибьютор был вынужден скачать приложение TestFlight, представленное как кошельковый продукт группы
— Для вектора через репозиторий — одна из возможностей — известная уязвимость VSCode и Cursor, о которой сообщество безопасности активно предупреждало с декабря 2025 по февраль 2026 года. Простое открытие файла, папки или репозитория в редакторе было достаточным для бесшумного выполнения произвольного кода — без каких-либо запросов, разрешений или предупреждений
1 апреля 2026Эксплойт сработал, выведено ~$280M. Telegram-чаты и вредоносное ПО мгновенно зачищены.
АтрибуцияСо средне-высокой степенью уверенности, подкреплённой расследованием команды SEALS 911, оценивается, что операция была проведена теми же злоумышленниками, которые ответственны за взлом Radiant Capital в октябре 2024 года, атрибутированный Mandiant группе UNC4736 — северокорейской государственной группировке, также известной как AppleJeus или Citrine Sleet. Связь основана как на ончейн-данных (потоки средств, использованных для подготовки и тестирования операции, ведут к атакующим Radiant), так и на операционных данных (персоны, задействованные в этой кампании, имеют выявленные пересечения с известной активностью КНДР).
Важно отметить, что люди, появлявшиеся лично, не были гражданами КНДР. Северокорейские злоумышленники такого уровня известны тем, что используют посредников для личного выстраивания отношений.
Mandiant формально не атрибутировал этот эксплойт Drift. Для такого определения требуется завершённая криминалистика устройств, которая ещё продолжается.
Профили, использованные в этой операции, имели полностью сконструированные личности, включая истории трудоустройства, публичные сертификаты и профессиональные сети. Люди, которых контрибьюторы Drift встречали лично, потратили месяцы на создание профилей, способных выдержать проверку в рамках деловых отношений.
РекомендацииПроверьте свои команды, проведите аудит того, кто имеет доступ к чему, и рассматривайте каждое устройство, имеющее доступ к вашему мультисигу, как потенциальную цель.
Оригинальный пост Drift Protocol
