Северокорейская группировка Lazarus (TraderTraitor) стоит за взломом DeFi-протокола Drift на $280 млн, установили эксперты Diverg, TRM Labs и Elliptic. Эта же команда ранее атаковала Bybit ($1,5 млрд) и Ronin ($625 млн).
1/10We've been investigating the @DriftProtocol exploit ($285M) since April 1.We can confirm along with TRM Labs and Elliptic that North Korea's Lazarus Group (TraderTraitor). Same unit behind Bybit ($1.5B), Ronin ($625M). Was involved.Here's what our independent on-chain…— Diverg (@DivergSec) April 3, 2026
Атакующий не просто разово скомпрометировал мультиподпись, как изначально предполагали разработчики пострадавшего проекта.
27 марта Drift обновил правила Совета безопасности: для подтверждения транзакции требовалось две подписи из пяти, и исполнение происходило мгновенно. Однако всего через три дня злоумышленник повторно взломал новый мультисиг и использовал механизм отложенной подписи.
Подготовка к атаке
Хакер начал готовиться к атаке 11 марта. Тогда он вывел 10 ETH с помощью Tornado Cash в 15:24 по времени Пхеньяна. Средства прошли через цепочку одноразовых кошельков и кроссчейн-мостов.
12 марта на адрес для эмиссии токенов поступило 50 SOL, и к 09:58 по корейскому времени злоумышленник создал 750 млн фальшивых монет CVT. Тот же адрес использовали и в сети BSC. На него зачислили 31,125 BNB через подписанную транзакцию из MetaWallet, после чего средства ушли по тому же маршруту, что и Ethereum.
Ранние сообщения ошибочно утверждали, что на финансирование атаки ушло 30 ETH из трех выводов через Tornado Cash. Специалисты уточнили, что атакующему принадлежала только одна транзакция на 10 ETH. Две других ушли сервису для отравления адресов.
Вывод средств
После взлома в Diverg восстановили полную стратегию вывода средств через публичный API CoW Protocol. За 30 минут через веб-интерфейс CoW Swap злоумышленник разместил 10 ордеров, конвертировав $14,6 млн USDC и 99,8 WBTC примерно в 13 150 ETH. Все 10 транзакций подтверждены в блокчейне.
Вторичный кошелек-накопитель получил средства из двух источников: 390,86 ETH из Chainflip Vault и 846 000 USDC через Circle CCTP (впоследствии конвертированные в 397 ETH через CoW Protocol). В сумме 788 ETH ушли на удерживающий адрес.
Поведенческий профиль
Все подтвержденные действия хакера привязаны к рабочим часам Пхеньяна и совершались только по будням.
Методы группировки полностью совпадают с известным профилем Lazarus: подготовка через Tornado Cash, социальная инженерия (фальшивые предложения о работе, как в случае с Bybit SafeWallet), быстрый перевод средств через несколько блокчейнов в Ethereum и удержание похищенных активов.
Однако на этот раз злоумышленники применили новую тактику: выпустили фальшивые токены CVT и подменили данные оракула для искусственного завышения стоимости залога.
По данным Elliptic, взлом Drift стал уже 18 атакой Lazarus с начала 2026 года.
Напомним, в марте северокорейскую группировку заподозрили в атаке на криптовалютный интернет-магазин Bitrefill.
