Drift Protocol подвергся краже на 285 миллионов долларов: хакеры из Северной Кореи готовились 6 месяцев и использовали Durable Nonce, чтобы обойти множественные подписи

Сайна в цепочке: известный деривативный протокол Drift Protocol подвергся хакерской атаке 1 апреля, в результате которой было потеряно около 285M美元. Объем средств в залоге платформы (TVL) упал с примерно 550M美元 до инцидента до примерно 230M美元 после инцидента. Команда Drift затем опубликовала подробный отчет об исследовании, раскрыв, что это была социальная инженерная атака, продолжавшаяся 6 месяцев и поддержанная ресурсами уровня государства.

6 месяцев выжидания: от криптовалютной конференции до репозитория кода

Согласно расследованию Drift, злоумышленники начали развертывание еще осенью 2025 года. Они выступали под видом легитимной компании по количественной торговле и на нескольких криптовалютных конференциях устанавливали контакт с авторами/вкладчиками Drift, выстраивая видимые подлинными профессиональные отношения. В течение длительного периода проникновения, который составил 6 месяцев, злоумышленники:

создали группу в Telegram и обсуждали с командой Drift стратегии торговли

с реальными средствами (более 1M美元) создали доверие, разместив их в экосистемном Vault

провели несколько рабочих встреч в нескольких странах

В итоге вторжение, вероятно, было осуществлено через два канала: один вкладчик скопировал репозиторий кода, который мог использовать известную уязвимость в VSCode/Cursor; другой вкладчик загрузил TestFlight App, предоставленное злоумышленниками под видом «продукта для кошелька».

Технический прием: предварительно подписанные транзакции с Durable Nonce для обхода мультиподписей

На техническом уровне злоумышленники использовали в Solana механизм учетной записи «Durable Nonce» — функцию, которая позволяет предварительно подписывать транзакции и откладывать их выполнение. Злоумышленники применили это, чтобы заранее подготовить подписи для всех вредоносных транзакций, а после получения достаточных полномочий мгновенно выполнить их, оставив стороне защиты крайне мало времени на реакцию.

Злоумышленники быстро получили контроль над администрацией безопасностного комитета Drift, после чего очистили соответствующие активы. После инцидента Drift подчеркнул, что все участники мультиподписи использовали холодные кошельки, но даже это не смогло остановить атаку, демонстрируя, что «когда атака фиксируется на человеческом уровне, даже строгий аппаратный контроль может быть обойден».

Указание на Северную Корею UNC4736: та же группа, что и при атаках на Radiant Capital

Drift заявил, что с «высокой степенью уверенности» атрибуция атаки относится к UNC4736 (также известной как Citrine Sleet, AppleJeus) — хакерской организации, связанной с правительством Северной Кореи. В расследовании отмечено, что паттерн инцидента весьма совпадает с атакой, которая в октябре 2024 года привела к потерям Radiant Capital в размере 58M美元, и полагают, что это дело рук одной и той же группы исполнителей.

Критика в адрес Circle: почему не смогли заморозить украденные USDC немедленно?

После атаки еще одним спорным фокусом стала скорость реакции Circle. Согласно данным PeckShield, злоумышленники украли у Drift примерно 71M美元 USDC, а затем, после конвертации других украденных активов в USDC, через кроссчейн-трансферный протокол Circle (CCTP) перешли примерно 232M美元 USDC из Solana в Ethereum, из-за чего сложность возврата резко возросла.

Известный ончейн-исследователь ZachXBT раскритиковал действия Circle за чрезмерную медлительность и указал на ироничное сравнение: в тот же день, когда злоумышленники настроили учетную запись Durable Nonce (23 марта), Circle заморозила 16 коммерческих hot wallet-ов всего за несколько минут — поводом послужил один гражданский иск в США, однако перед DeFi-атакой масштабом значительно больше 9 位數 у нее не было сопоставимо быстрых действий.

Ответ Circle: «Circle — регулируемая компания, и мы работаем в обычном режиме в соответствии с требованиями по санкциям, решениями правоохранительных органов и судебными приказами. Мы замораживаем активы в случаях, когда это требуется законом, чтобы соблюдать принцип верховенства права и защищать права и конфиденциальность пользователей». Юрист Пламe также призвал законодательный орган создать механизм «гавани безопасности», чтобы эмитенты стейблкоинов могли замораживать активы при наличии разумных оснований полагать, что средства могут быть связаны с незаконной деятельностью, и при этом избегать гражданской ответственности.

Предупреждение для индустрии DeFi

Объявление Drift вызвало широкое внимание в отрасли. Эта атака наглядно показывает, что национальные хакерские организации проводят многомесячные действия HUMINT (человеческая разведка) против DeFi-протоколов, а не полагаются только на технические уязвимости. Ключевые выводы включают: не копировать внешние репозитории на машины, где находятся производственные ключи или мультиподписи; не устанавливать сторонние приложения и не открывать неизвестные ссылки; изоляция устройств и прав доступа должна быть реализована полностью и без компромиссов.

Эта статья: Drift Protocol похитили 285M美元: северокорейские хакеры готовились 6 месяцев, использовали Durable Nonce для обхода мультиподписей Впервые появляется в 鏈新聞 ABMedia.