Хакерская атака на Drift Protocol являлась «структурированной операцией по проникновению, потребовавшей организационной поддержки, значительных ресурсов и нескольких месяцев тщательной подготовки».
https://t.co/qYBMCup9i6— Drift (@DriftProtocol) April 5, 2026
Согласно заявлению команды проекта, за произошедший 1 апреля инцидент с ущербом около $280 млн несет ответственность группировка из Северной Кореи. На планирование и реализацию атаки они потратили полгода.
https://forklog.com/news/eksperty-svyazali-vzlom-drift-na-280-mln-s-hakerami-iz-severnoj-korei
Внедрение
По словам представителей Drift, осенью 2025 года на одной из тематических конференций к ним обратились люди от лица неназванной торговой компании, выразив желание интегрироваться в протокол.
Как выяснилось, преступники целенаправленно отслеживали участников проекта и входили к ним в доверие.
«Они обладали техническими навыками, имели подтвержденный профессиональный опыт и были знакомы с принципами работы Drift. После первой встречи мы создали группу в Telegram, за этим последовали месяцы содержательных обсуждений торговых стратегий и потенциальной интеграции хранилища», — отметила команда.
После подставная компания начала подключать собственные хранилища к Drift, для чего потребовалось заполнить форму с подробным описанием стратегии. Кроме того, они вложили более $1 млн собственных средств в экосистему.
Тесное общение между разработчиками и злоумышленниками продолжалось примерно до конца марта. После атаки все общие чаты и контакты удалили.
«Это были не незнакомцы, а люди, с которыми участники проекта работали и встречались лично. На протяжении всего этого процесса распространялись ссылки на проекты, инструменты и приложения», — подчеркнули в Drift.
Механизмы взлома
Как сообщалось ранее, хакеры получили доступ к депозитарным хранилищем через создание поддельных отложенных подписей. Сейчас команда выделила три вероятных вектора атаки:
Один из сотрудников, возможно, стал жертвой взлома после клонирования репозитория кода под видом развертывания интерфейса для хранилища.
Другого члена проекта убедили загрузить вредоносное приложение TestFlight, которое представили как электронный кошелек.
В репозиториях предположительно присутствовала уязвимость, позволяющая через простое открытие файла, папки или других документов в редакторе незаметно воспроизвести любой код.
В Drift продолжают криминалистический анализ затронутого оборудования. Содействие в расследовании оказывают специалисты SEALS 911 и правоохранительные органы.
Официальный источник уязвимости пока не выявлен. Работа протокола по-прежнему приостановлена.
Конкретный виновник
Полученные в ходе следствия данные позволили связать атаку с группировкой UNC4736 — северокорейской государственной структурой, также известной как AppleJeus или Citrine Sleet.
Эти же преступники предположительно стояли за взломом Radiant Capital на более чем $50 млн в октябре 2024 года. Их отследили по ончейн-данным, которые указали на общие денежные потоки, а также по связанным с ними реальным личностям.
Для внедрения в Drift преступники предоставляли полностью сфабрикованные данные, включая историю трудоустройства, персональную информацию и профессиональные контакты.
«Важно отметить: встречавшиеся [с представителями Drift] лица не являлись гражданами Северной Кореи. Известно, что северокорейские террористы, действующие на этом уровне, используют посредников для налаживания личных контактов», — отметили в компании.
Напомним, в марте группировку из КНДР заподозрили в атаке на криптовалютный интернет-магазин Bitrefill.
