Шестимесячная операция по сбору разведданных предшествовала эксплойту на $270 млн Drift Protocol и была проведена северокорейской группой, связанной с государством, сообщает подробное обновление об инциденте, опубликованное командой ранее в воскресенье.
Злоумышленники впервые вышли на контакт примерно осенью 2025 года на крупной криптоконференции, представляясь фирмой по количественной торговле, которая хочет интегрироваться с Drift.
По словам Drift, они были технически подкованы, имели проверяемые профессиональные биографии и понимали, как работает протокол. Была создана группа в Telegram, а затем последовали месяцы содержательных разговоров о торговых стратегиях и интеграциях с vault, взаимодействиях, которые являются стандартными для того, как торговые фирмы подключаются к DeFi-протоколам.
В период между декабрем 2025 и январем 2026 группа подключила Ecosystem Vault на Drift, провела несколько рабочих сессий с участниками, внесла более $1 млн собственного капитала и выстроила работоспособное операционное присутствие внутри экосистемы.
Участники Drift встречались с людьми из этой группы лицом к лицу на нескольких крупных отраслевых конференциях в нескольких странах в течение февраля и марта. К моменту запуска атаки 1 апреля отношения были почти полугодовой давности.
Похоже, компрометация произошла по двум векторам.
Во втором был загружен TestFlight — платформа Apple для распространения предрелизных приложений, которая обходит проверку безопасности App Store; это приложение группа представила как свой продукт-кошелёк.
По вектору репозитория Drift указал на известную уязвимость в VSCode и Cursor — двух из самых широко используемых редакторов кода в разработке ПО. С позднего 2025 года сообщество по безопасности отмечало её: достаточно было просто открыть файл или папку в редакторе, чтобы бесшумно выполнить произвольный код без какого-либо запроса или предупреждения.
Как только устройства были скомпрометированы, злоумышленники получили всё необходимое, чтобы оформить два multisig-одобрения, которые позволили длительно выполняемую nonce-атаку, о которой CoinDesk подробно сообщал ранее на этой неделе. Эти предварительно подписанные транзакции пролежали бездействующими более недели, прежде чем были исполнены 1 апреля, что привело к выводу $270 млн из vault’ов протокола менее чем за минуту.
Атрибуция указывает на UNC4736 — северокорейскую группу, также отслеживаемую как AppleJeus или Citrine Sleet. Это основано как на данных о потоках средств on-chain, которые прослеживаются до атакующих Radiant Capital, так и на операционном совпадении с известными персонами, связанными с DPRK.
Однако люди, которые, как сообщается, появлялись лично на конференциях, не были гражданами Северной Кореи. Акторы угроз уровня DPRK, как известно, задействуют третьих лиц-посредников с полностью сформированными идентичностями, историями занятости и профессиональными сетями, рассчитанными на то, чтобы выдерживать due diligence.
Drift призвал другие протоколы провести аудит механизмов контроля доступа и относиться к любому устройству, взаимодействующему с multisig, как к потенциальной цели. Более широкая подоплёка неприятна для отрасли, которая полагается на multisig-управление как на свою основную модель безопасности.
Но если атакующие готовы потратить шесть месяцев и миллион долларов, чтобы построить легитимное присутствие внутри экосистемы, встречаться с командами лично, вкладывать реальные средства и ждать — тогда возникает вопрос: какая модель безопасности предназначена для того, чтобы это ловить.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Теннесси планирует выделить 10% средств штата на биткоин; слушания в Сенате пройдут 21 апреля
Законопроект штата Теннесси «Strategic Bitcoin Reserve Act» (SB 2639) будет вынесен на слушание в Сенатском комитете по финансам, бюджетированию и ассигнованиям 21 апреля (во вторник на следующей неделе). Законопроект внесен сенатором Kelly Roberts, уже прошел Комитет по торговле и труду Сената и сейчас направлен в Финансовый комитет, отвечающий за надзор за налоговыми и расходными мерами. Если закон будет принят, министр финансов Теннесси сможет выделить на биткоин (BTC) до 10% от соответствующих требованиям средств штата.
MarketWhisper38м назад
Законопроект Теннесси о стратегическом резерве биткоина продвигается к слушанию в Сенатском комитете по финансам 20 апреля
Законопроект Теннесси о стратегическом резерве биткоина продвигается к слушанию в Сенатском комитете по финансам 20 апреля, приближаясь к возможному принятию в качестве закона.
GateNews3ч назад
Circle Faces Class Action Lawsuit Over $230M Unblocked USDC in Drift Protocol Attack
Circle сталкивается с коллективным иском из-за того, что не заморозила $230 миллионов украденного USDC после атаки на Drift Protocol. Истцы утверждают, что протоколы Circle позволили злоумышленникам перемещать и конвертировать украденные средства без вмешательства, что вызывает опасения относительно обязанностей компании по мониторингу кроссчейн-переводов.
GateNews3ч назад
Gate日報(4月17日):馬斯克X Money遇紐約加密監管障礙;Yuga Labs任命新CEO
比特幣(BTC)持平於74,920美元,以色列與黎巴嫩停火生效,川普稱伊朗同意不擁核。瑞穗銀行警告馬斯克的X Money可能受到紐約加密監管影響。Yuga Labs更換CEO,Greg Solano轉任董事會主席,Michael Figge接任。市場普遍樂觀,十年來最大比特幣購買潮出現,暗示價格可能向9萬美元邁進。
MarketWhisper4ч назад
Grinex взломали: на 15 млн долларов приостановлена торговля, «стрелки» указывают на «враждебное государство»
Криптовалютная биржа Grinex в Кыргызстане приостановила торговлю и вывод средств из-за масштабной кибератаки и потеряла примерно 15 млн долларов США в USDT. Украденные средства быстро были конвертированы в TRX и ETH, чтобы снизить риск заморозки. Считается, что Grinex является преемником санкционированной биржи Garantex и стал основной торговой платформой для обмена рублей на криптовалюту. В своем заявлении об атаке Grinex указывает на «враждебное государство», но не приводит конкретных доказательств.
MarketWhisper4ч назад
