Фокус криптобезопасности стремительно смещается с уязвимостей на уровне кода на человеческий фактор доверия.
1 апреля 2026 года Drift Protocol — ведущая децентрализованная деривативная платформа в экосистеме Solana — подверглась атаке, приведшей к потерям примерно на 285 миллионов долларов. Общая сумма заблокированных средств (TVL) на платформе снизилась с примерно 550 миллионов долларов до инцидента до около 230 миллионов долларов после него. Предварительное расследование Drift подтвердило, что операция была организована группой UNC4736, связанной с правительством КНДР, и охарактеризовало её как «структурированную разведывательную операцию, продолжавшуюся шесть месяцев».
Этот вывод говорит о трансформации, которая выходит далеко за рамки единичного инцидента безопасности. Когда хакеры, действующие в интересах государств, переключают внимание с поиска уязвимостей в коде на много месяцев внедрения в доверительные отношения, парадигма безопасности всей индустрии DeFi системно меняется. Для атаки больше не требуются сложные эксплойты смарт-контрактов или кража приватных ключей — достаточно терпеливого выстраивания отношений, тщательно продуманной легенды и времени.
Как была реализована атака?
Операция UNC4736 продемонстрировала уровень организации и ресурсов, значительно превышающий возможности обычных хакерских групп. Начиная с осени 2025 года лица, представлявшиеся сотрудниками квантитативной торговой фирмы, целенаправленно выходили на участников Drift на различных международных криптоконференциях. Эти люди обладали технической компетенцией, подтверждённым профессиональным опытом и глубоким пониманием работы Drift. Примечательно, что непосредственный контакт осуществляли не граждане КНДР, а третьи лица — посредники, привлечённые северокорейскими злоумышленниками.
После установления доверия группа вошла в казначейство Drift между декабрём 2025 и январём 2026 года, внеся более 1 миллиона долларов собственных средств для повышения своей репутации. В этот период они вели подробные профессиональные обсуждения по продуктовым вопросам с рядом участников проекта.
Техническое проникновение произошло по двум направлениям. Один из участников был скомпрометирован после клонирования вредоносного репозитория кода, использовавшего известные уязвимости редакторов VSCode и Cursor, о которых сообщество безопасности неоднократно предупреждало. Открытие файла, папки или репозитория в редакторе могло привести к незаметному выполнению произвольного кода без каких-либо действий пользователя. Другой участник был вынужден скачать поддельное приложение-кошелёк через платформу TestFlight от Apple. Получив внутренний доступ, злоумышленники воспользовались встроенной функцией Durable Nonce в Solana для предварительного подписания транзакций, а затем мгновенно вывели средства после одобрения мультиподписи.
Какова цена новой парадигмы атак?
Инцидент с Drift выявил издержки сразу по нескольким направлениям, далеко выходящие за рамки прямых потерь в 285 миллионов долларов.
Наиболее очевидным последствием стали финансовые убытки и шок для рынка. Это крупнейший инцидент безопасности DeFi в 2026 году и второй по масштабу в истории Solana. После атаки цена токена DRIFT обвалилась более чем на 90% от исторического максимума.
Ещё более тревожен эффект заражения. Количество протоколов, затронутых взломом Drift, увеличилось с 11 до более чем 20, среди новых пострадавших — PiggyBank, Perena, Vectis и Prime Numbers Fi. Некоторые проекты приостановили функции выпуска, погашения или ввода/вывода средств. Децентрализованный кредитный протокол Project 0 остановил работу и начал процесс снижения долговой нагрузки, что привело к среднему списанию 2,61% для кредиторов.
Самый глубокий и трудно поддающийся оценке ущерб — подрыв доверия, лежащего в основе безопасности DeFi. Drift подчёркивает, что все члены мультиподписи использовали холодные кошельки, однако атака всё равно удалась. Это доказывает, что при атаке на человеческий фактор даже строгие аппаратные меры могут быть обойдены. Если злоумышленники действуют как легальная организация на протяжении месяцев — инвестируя средства и участвуя в жизни экосистемы — существующие системы безопасности практически бессильны их выявить.
Что это значит для индустрии DeFi?
Инцидент с Drift заставляет отрасль пересмотреть фундаментальный вопрос: сохраняют ли основные предпосылки безопасности децентрализованных финансов свою актуальность?
Один из ключевых аспектов переосмысления — структурные уязвимости систем доверия к третьим сторонам. Сценарий атаки UNC4736 показал, что современная экосистема DeFi не предусматривает систематической проверки безопасности и постоянного мониторинга новых партнёров. Деятельность, считающаяся стандартом для бизнеса — нетворкинг на конференциях, обмен сообщениями, участие в казначействах экосистемы — становится идеальным прикрытием для проникновения хакеров, действующих в интересах государств.
Второе важное направление дискуссии — пробелы в комплаенсе при возврате средств. Ончейн-исследователи зафиксировали, что злоумышленники перевели около 232 миллионов USDC с Solana на Ethereum через кроссчейн-протоколы. У эмитентов стейблкоинов было около шести часов на заморозку этих средств, но никаких действий предпринято не было. Это поднимает более глубокий системный вопрос: когда защита DeFi-протоколов не срабатывает, можно ли устойчиво рассчитывать на централизованных эмитентов стейблкоинов для комплаенс-интервенций? Каковы пределы вмешательства комплаенс-структур при движении крупных объёмов средств?
Что дальше?
По результатам текущего расследования и реакции отрасли можно выделить несколько тенденций.
Бюджеты на безопасность будут пересмотрены системно. В 2025 году глобальные потери от инцидентов в криптобезопасности превысили 3,4 миллиарда долларов, при этом в Web3 зафиксировано 89 подтверждённых инцидентов с совокупными потерями 2,54 миллиарда долларов. По мере того как атаки со стороны государств становятся рутиной, одних аудитов кода и тестирования безопасности уже недостаточно. Ожидается, что всё больше протоколов будут инвестировать в тренинги по операционной безопасности, учения по противодействию социальной инженерии и углублённую проверку новых участников.
Риски перекрёстного заражения между протоколами станут новым фокусом. Эффект домино от инцидента Drift, затронувший более 20 протоколов, показал, что компонуемость DeFi — это палка о двух концах с точки зрения безопасности. В будущем возможны такие меры, как: (1) изоляция зависимостей на уровне протоколов и введение уровней безопасности, (2) создание отраслевых механизмов реагирования и обмена информацией.
Границы регулирования и комплаенса будут предметом дальнейших обсуждений. Стандарты действий эмитентов стейблкоинов в подобных ситуациях станут предметом регуляторных дебатов, что может привести к созданию экстренных рамок для трансграничных криптоактивов.
Какие риски остаются актуальными?
Несмотря на то что Drift заморозил все функции протокола и удалил скомпрометированные кошельки из мультиподписи, сохраняется ряд направлений риска.
Необратимость возврата средств. Злоумышленники быстро удалили переписку и вредоносное ПО после кражи, а украденные средства уже переведены на Ethereum. Группы хакеров из КНДР обладают отлаженными сетями отмывания и кроссчейн-миксинга, поэтому большая часть украденных активов, скорее всего, останется невозвращённой.
Асимметрия в возможностях обеспечения безопасности. Хакерские организации, действующие от имени государств, располагают организационными ресурсами, стабильным финансированием и специализированными ролями, в то время как большинство DeFi-протоколов работают небольшими командами с ограниченными ресурсами. Злоумышленники системно используют эту асимметрию. Их легенды включают полные профессиональные резюме, публичные сертификаты и профессиональные соцсети, что позволяет им успешно проходить стандартную бизнес-проверку.
Усталость от доверия, тормозящая инновации. Если каждый новый партнёр требует строгой проверки и постоянного мониторинга, ключевые преимущества DeFi — открытость и компонуемость — оказываются под угрозой. Баланс между эффективной защитой и операционной гибкостью станет важнейшим вызовом для отрасли.
Заключение
Взлом Drift выявил давно игнорируемую реальность: угрозы безопасности в DeFi перешли на новый уровень. От багов в смарт-контрактах и кражи приватных ключей индустрия пришла к многоуровневым атакам социальной инженерии, длящимся по полгода и организованным на государственном уровне. Злоумышленники развиваются гораздо быстрее, чем защитные системы. Когда для атаки уже не нужно взламывать код, а достаточно подорвать чьё-то доверие, эффективность мультиподписей, холодных кошельков и аппаратной изоляции требует переосмысления.
Индустрии нужны не только более тщательные аудиты кода и жёсткий контроль доступа, но и новое мышление в вопросах безопасности: воспринимать «человеческое доверие» как поверхность атаки, равную по значимости «коду смарт-контракта». Каждый элемент цепочки — от проверки биографии и культуры операционной безопасности до постоянного мониторинга партнёров и экстренного реагирования между протоколами — должен быть переопределён. В новых условиях, когда в криптобезопасности действуют государственные игроки, ни один протокол не может рассчитывать только на себя: безопасность всей системы определяется самым слабым звеном.
FAQ
Вопрос: Является ли UNC4736 тем же, что и Lazarus?
UNC4736 — это кодовое имя, используемое компаниями в сфере безопасности для отслеживания групп, связанных с КНДР. Хотя есть пересечения с более известной Lazarus Group, это не одно и то же. Считается, что UNC4736 сосредоточена на операциях по обеспечению устойчивого дохода в криптопространстве, атакуя малые и средние проекты путём длительного внедрения.
Вопрос: Почему мультиподпись не защитила Drift от атаки?
Злоумышленники не похитили приватные ключи мультиподписи напрямую. Они получили права одобрения транзакций через социальную инженерию, а затем использовали функцию Durable Nonce в Solana для предварительной подписи транзакций и их мгновенного исполнения, когда было достаточно разрешений. Это доказывает, что безопасность мультиподписи зависит от того, не будут ли её участники скомпрометированы через социальную инженерию.
Вопрос: Была ли в этой атаке использована уязвимость смарт-контракта?
Нет. Drift подтвердил, что в основе этой атаки лежала социальная инженерия и злоупотребление функцией Durable Nonce, а не классическая уязвимость в коде смарт-контракта.
Вопрос: Какие меры принял Drift после инцидента?
Drift заморозил все функции протокола, удалил скомпрометированные кошельки из мультиподписи и пригласил компании по безопасности для проведения всестороннего форензик-расследования. Команда протокола заявила, что сотрудничает с правоохранительными органами для отслеживания похищенных средств.
