Те, що спочатку здавалося раптовою атакою, тепер виявилося довгостроковою, ретельно скоординованою операцією. Drift Protocol розкрив, що злом на $270 мільйонів став результатом шестимісячної кампанії інфільтрації, імовірно пов'язаної з північнокорейськими державними акторами.
Замість використання простої вразливості зловмисники повільно будували довіру, видаючи себе за легітимну кількісну торгову фірму та інтегруючись в екосистему. Їхній підхід виходив за межі цифрового обману. Вони безпосередньо взаємодіяли з учасниками, відвідували криптоконференції та встановлювали відносини, які виглядали надійними на кожному рівні.
Це не була швидка атака. Вона була розрахована, терпляча та спроектована так, щоб обійти не лише технічний захист, але й людську довіру.
Перший контакт розпочався на криптоконференціях
Операція, як повідомляється, розпочалася восени 2025 року, коли зловмисники встановили перший контакт на великій криптоконференції. На той час не було жодних негайних тривожних сигналів. Група представила себе як технічно компетентних професіоналів з перевіреним досвідом.
Вони вільно говорили мовою DeFi, демонструючи глибоке розуміння інфраструктури Drift та торгових механізмів. Цей рівень експертизи допоміг їм органічно злитися з легітимними учасниками та партнерами.
Незабаром після цього комунікація перемістилася до Telegram, де обговорення тривали протягом кількох місяців. Ці взаємодії не були поспішними чи підозрілими. Натомість вони відображали ритм справжньої співпраці, повної технічних обговорень, стратегічних внесків та постійної взаємодії.
Підтримуючи послідовність та надійність, зловмисники поступово будували довіру всередині спільноти.
Побудова довіри через капітал та співпрацю
До січня 2026 року група ще більше поглибила свою участь. Вони успішно підключили Ecosystem Vault і почали брати участь у робочих сесіях разом із учасниками Drift.
Важливо, що вони також розмістили реальний капітал, депонувавши понад $1 мільйон власних коштів у протокол. Цей крок посилив їхню легітимність, сигналізуючи, що вони мають особисту зацікавленість у грі.
Протягом лютого та березня члени екосистеми Drift зустрічалися з цими особами особисто в декількох країнах. Ці особисті взаємодії додали ще один рівень довіри, роблячи ще менш ймовірним, що їхні наміри будуть поставлені під сумнів.
До моменту виконання атаки відносини між зловмисниками та спільнотою було встановлено протягом майже шести місяців. Це був рівень інфільтрації, який рідко зустрічається при атаках на DeFi.
Виконання атаки використовувало складні точки входу
Коли компрометація нарешті відбулася, вона пройшла через два ретельно спрямовані вектори.
Перший включав зловмисний застосунок TestFlight, представлений як легітимний продукт гаманця. Це дозволило зловмисникам отримати доступ до пристроїв учасників під виглядом тестування нових інструментів.
Другий вектор експлуатував відому вразливість у середовищах розробки, таких як VSCode та Cursor. Ця вада, на яку спільнота безпеки вказувала місяцями раніше, дозволила виконання довільного коду просто шляхом відкриття файлу.
Разом ці методи дозволили зловмисникам скомпрометувати ключові пристрої без викликання негайної підозри. Опинившись всередині, вони змогли отримати доступ до чутливих робочих процесів та механізмів схвалення.
Цей етап операції підкреслює критичний зсув у стратегіях атак. Замість безпосереднього націлювання на смартконтракти зловмисники все більше зосереджуються на людських та інструментальних рівнях, що їх оточують.
Слабкості мультипідпису виявлені при остаточному виведенні
Отримавши доступ, зловмисники перейшли до завершальної фази: виконання.
Вони отримали два підтвердження мультипідпису, які потім були використані для авторизації транзакцій. Примітно, що ці транзакції були попередньо підписані та залишені неактивними понад тиждень, уникаючи негайного виявлення.
1 квітня зловмисники діяли. Менш ніж за хвилину приблизно $270 мільйонів було виведено з сховищ Drift.
Швидкість та точність виконання залишили мало місця для втручання. До моменту, коли транзакції були розпізнані, кошти вже були переміщені.
Drift з тих пір попередив, що цей інцидент розкриває фундаментальні слабкості в моделях безпеки на основі мультипідпису. Хоча системи мультипідпису розроблені для розподілу довіри, вони залишаються вразливими, коли самі підписанти скомпрометовані.
Виявлено зв'язки з північнокорейськими державними акторами
Розслідування атаки пов'язало операцію з UNC4736, групою, також відомою як AppleJeus або Citrine Sleet. Ця організація широко асоціюється з північнокорейськими кіберопераціями та була пов'язана з попередніми високопрофільними атаками, включаючи атаку на Radiant Capital.
Цікаво, що особи, які безпосередньо взаємодіяли з учасниками Drift, не були ідентифіковані як громадяни Північної Кореї. Натомість вони, схоже, були сторонніми посередниками, оснащеними ретельно сконструйованими особистостями, розробленими для витримки перевірки.
Цей багаторівневий підхід ускладнює атрибуцію, одночасно підвищуючи ефективність операції. Відокремлюючи акторів на місцях від координуючої організації, зловмисники змогли підтримувати правдоподібну легітимність протягом усієї інфільтрації.
Тривожний дзвінок для моделей безпеки DeFi
Атака на Drift змушує індустрію зіткнутися з незручною реальністю. Традиційні моделі безпеки, зосереджені на аудитах коду, вразливостях смартконтрактів та захисті мультипідпису, можуть бути недостатніми для захисту від противників, готових інвестувати час, гроші та людські ресурси.
Якщо зловмисники можуть витратити шість місяців на побудову відносин, розмістити капітал для отримання довіри та фізично зустрічатися з командами, поверхня атаки виходить далеко за межі коду.
Це піднімає критичне питання для екосистеми DeFi: який тип системи безпеки може виявити та запобігти цьому рівню інфільтрації?
На даний момент інцидент залишається однією з найскладніших атак, керованих соціальною інженерією, в історії криптовалют. Він підкреслює необхідність більш цілісного підходу до безпеки, який враховує людську поведінку, операційні процеси та все більш розмиті межі між онлайн та офлайн взаємодією.
Оскільки протоколи продовжують зростати та залучати більше капіталу, ставки лише зростатимуть. І, як показує цей випадок, наступне покоління атак може прийти не від анонімних гаманців, а від надійних партнерів, що сидять за столом.
Розкриття інформації: це не торгова чи інвестиційна порада. Завжди проводьте власне дослідження перед купівлею будь-якої криптовалюти чи інвестуванням у будь-які послуги.
Слідкуйте за нами в Twitter @nulltxnews, щоб отримувати останні новини про криптовалюти, NFT, AI, кібербезпеку, розподілені обчислення та Metaverse!
Джерело: https://nulltx.com/north-korea-linked-group-behind-270m-drift-hack-six-month-plot-revealed/
