Фокус інцидентів у сфері криптобезпеки стрімко зміщується від вразливостей на рівні коду до людського рівня довіри.
1 квітня 2026 року Drift Protocol — провідна децентралізована платформа деривативів в екосистемі Solana — зазнала атаки, що призвела до втрат приблизно 285 мільйонів доларів США. Загальна вартість заблокованих активів (TVL) на платформі знизилася з близько 550 мільйонів доларів до приблизно 230 мільйонів доларів після інциденту. Попереднє розслідування Drift підтвердило, що операція була організована UNC4736 — хакерським угрупованням, пов’язаним з урядом Корейської Народно-Демократичної Республіки. Її було описано як «структуровану розвідувальну операцію, що тривала шість місяців».
Цей висновок свідчить про перетворення, яке виходить далеко за межі одного випадку порушення безпеки. Коли хакери, що діють від імені держави, переходять від експлуатації вразливостей у коді до багатомісячного проникнення у міжособистісну довіру, парадигма безпеки всієї індустрії DeFi систематично переписується. Для атаки вже не потрібні складні експлойти смартконтрактів або крадіжка приватних ключів — достатньо терплячих стосунків, ретельно продуманої ідентичності та часу.
Як відбулася атака?
Операція UNC4736 продемонструвала рівень організованості та залучення ресурсів, що значно перевищує типові хакерські групи. Починаючи з осені 2025 року, особи, які представлялися співробітниками квантитативної торгової компанії, цілеспрямовано контактували з учасниками Drift на кількох міжнародних криптоконференціях. Вони мали технічну підготовку, перевірені професійні біографії та добре орієнтувалися в роботі Drift. Важливо, що ті, хто контактував особисто, не були громадянами КНДР, а виступали як сторонні посередники, залучені північнокорейськими зловмисниками.
Після встановлення довіри група приєдналася до казначейства екосистеми Drift у період з грудня 2025 до січня 2026 року, внісши понад 1 мільйон доларів власних коштів для підвищення своєї репутації. У цей час вони проводили детальні професійні обговорення продукту з кількома учасниками.
Технічне порушення відбулося за двома напрямками. Один з учасників був скомпрометований після клонування шкідливого репозиторію коду, який використовував відомі вразливості редакторів VSCode та Cursor — про ці вразливості неодноразово попереджала спільнота з кібербезпеки. Достатньо було лише відкрити файл, папку або репозиторій у редакторі, щоб без будь-яких підказок чи кліків користувача відбулося приховане виконання довільного коду. Іншого учасника заманили до завантаження підробленого гаманця через платформу Apple TestFlight. Після отримання внутрішнього доступу зловмисники використали вбудовану функцію Durable Nonce у Solana для попереднього підпису транзакцій, а потім миттєво вивели кошти після схвалення у мультипідписі.
Які витрати несе така парадигма атак?
Інцидент з Drift виявив витрати на багатьох рівнях, що значно перевищують прямі втрати у 285 мільйонів доларів.
Найбільш очевидним став фінансовий збиток і шок для ринку. Це був найбільший інцидент безпеки у DeFi у 2026 році та другий за масштабом в історії Solana. Після атаки ціна токена DRIFT впала більш ніж на 90% від історичного максимуму.
Ще більш тривожним є ефект «зараження». Кількість протоколів, що постраждали від експлойту Drift, зросла з 11 до понад 20, включаючи нових жертв, таких як PiggyBank, Perena, Vectis і Prime Numbers Fi. Деякі протоколи призупинили функції емісії, викупу чи введення/виведення коштів. Децентралізований кредитний протокол Project 0 зупинив роботу та розпочав процес зниження кредитного навантаження, що призвело до середньої втрати 2,61% для кредиторів.
Найглибша і найскладніше вимірювана втрата — це підрив довіри, яка лежить в основі безпеки DeFi. Drift підкреслює, що всі учасники мультипідпису використовували холодні гаманці, але атака все одно відбулася. Це свідчить, що коли мішенню стає людський фактор, навіть суворий контроль апаратного забезпечення можна обійти. Якщо зловмисники діють як легітимна організація протягом місяців — інвестують кошти та беруть участь у житті екосистеми — чинні системи безпеки майже безсилі їх виявити.
Яке це має значення для ландшафту DeFi?
Інцидент з Drift змушує індустрію переосмислити фундаментальне питання: чи залишаються чинними базові припущення щодо безпеки децентралізованих фінансів?
Одна з ключових тем для роздумів — структурні вразливості систем довіри до третіх сторін. Шлях атаки UNC4736 показав, що сучасна екосистема DeFi не має системної перевірки безпеки та постійного моніторингу нових партнерів. Дії, які вважаються стандартною бізнес-практикою — нетворкінг на конференціях, обмін повідомленнями, приєднання до казначейств екосистеми — саме й слугують прикриттям для проникнення хакерів, що діють від імені держави.
Ще одна важлива дискусія стосується прогалин у дотриманні вимог щодо повернення коштів. Дослідники блокчейну зазначили, що зловмисники перекинули близько 232 мільйонів USDC із Solana до Ethereum через кросчейн-протоколи. Емітенти стейблкоїнів мали шестигодинне вікно для заморожування цих коштів, але не вжили жодних дій. Це піднімає глибше системне питання: якщо захист DeFi-протоколу не спрацював, чи можна покладатися на централізованих емітентів стейблкоїнів для втручання на основі дотримання вимог? Де проходить межа дій для комплаєнтних структур при масштабних переміщеннях коштів?
Що далі?
На основі поточного розслідування та реакції індустрії вимальовується кілька тенденцій.
Бюджети на безпеку будуть переглянуті системно. У 2025 році світові втрати через інциденти у сфері криптобезпеки перевищили 3,4 мільярда доларів, із 89 підтвердженими інцидентами у Web3 на суму 2,54 мільярда доларів. Оскільки атаки з боку державних структур стають звичними, лише аудит коду та тестування безпеки вже недостатні. Очікується, що більше протоколів інвестуватимуть у навчання з операційної безпеки, тренування з протидії соціальній інженерії та поглиблену перевірку біографій.
Кроспротокольний ризик «зараження» стане новим фокусом. Ефект доміно від інциденту Drift, що охопив понад 20 протоколів, показує: композитивність DeFi — це «double-edged sword» (подвійний ризик) для безпеки. Майбутні заходи можуть включати: (1) ізоляцію залежностей на рівні протоколу та багаторівневу безпеку, (2) галузеві механізми реагування на інциденти та обміну інформацією.
Регуляторні та комплаєнтні межі підлягатимуть подальшим переговорам. Стандарти дій емітентів стейблкоїнів у подібних випадках стануть предметом регуляторних дебатів, що може призвести до створення екстрених рамок для транскордонного руху криптоактивів.
Які ризики залишаються актуальними?
Попри те, що Drift заморозив усі функції протоколу та видалив скомпрометовані гаманці з мультипідпису, кілька напрямків ризику потребують постійної уваги.
Незворотність повернення коштів. Зловмисники швидко видалили історію повідомлень та шкідливе ПЗ після крадіжки, а викрадені активи вже були перекинуті в Ethereum. Північнокорейські хакерські групи мають розвинені мережі для відмивання коштів і кросчейн-міксингу, тому більшість викрадених коштів, ймовірно, не вдасться повернути.
Асиметрія у можливостях захисту. Хакерські організації, що діють від імені держави, мають організаційні ресурси, постійне фінансування та спеціалізовані ролі, тоді як більшість DeFi-протоколів працюють невеликими командами з обмеженими ресурсами безпеки. Зловмисники системно використовують цю асиметрію. Використані ними ідентичності мають повні професійні резюме, публічні сертифікати та професійні соцмережі, що дозволяє проходити стандартну бізнес-перевірку.
Втома від довіри як гальмо для інновацій у галузі. Якщо кожен новий партнер потребує суворої перевірки безпеки та постійного моніторингу, основні переваги DeFi — відкритість і композитивність — опиняються під загрозою. Баланс між захистом і ефективністю операцій стане критичним викликом для індустрії.
Висновок
Випадок з Drift показав давно ігноровану реальність: загрози безпеці у DeFi перейшли на новий рівень. Від багів у смартконтрактах і крадіжки приватних ключів — до багатомісячних соціотехнічних проникнень з боку державних структур. Зловмисники розвиваються значно швидше, ніж системи захисту. Коли для атаки вже не потрібно ламати код, а достатньо зламати чиюсь довіру, ефективність мультипідпису, холодних гаманців і апаратної ізоляції потребує переоцінки.
Індустрії потрібно більше, ніж покращені аудити коду та суворіші контролі доступу — потрібне нове мислення щодо безпеки: розглядати «людську довіру» як поверхню атаки нарівні з «кодом смартконтракту». Кожна ланка ланцюга — від перевірки біографій і культури операційної безпеки до постійного моніторингу партнерів екосистеми та кроспротокольного реагування на надзвичайні ситуації — має бути переосмислена. У новій реальності, коли до криптобезпеки залучаються державні актори, жоден протокол не може залишатися осторонь — ланцюг безпеки міцний лише настільки, наскільки міцна його найслабша ланка.
FAQ
Q: Чи є UNC4736 тим самим, що й Lazarus?
UNC4736 — це кодова назва, яку використовують компанії з кібербезпеки для відстеження зловмисників, пов’язаних із КНДР. Хоча є певний перетин із більш відомою групою Lazarus, це не одне й те саме. Вважається, що UNC4736 зосереджений на стійких операціях для отримання базового доходу у сфері криптовалют, орієнтуючись на невеликі та середні організації шляхом тривалого проникнення.
Q: Чому мультипідпис не захистив Drift від атаки?
Зловмисники не крали приватні ключі від мультипідпису напряму. Вони отримали права схвалення у мультипідписі через соціальну інженерію, а потім використали функцію Durable Nonce у Solana для попереднього підпису транзакцій і миттєвого виконання після отримання достатніх дозволів. Це показує, що безпека мультипідпису залежить від того, чи не будуть підписанти скомпрометовані через соціотехнічні методи.
Q: Чи була ця атака пов’язана з вразливістю смартконтракту?
Ні. Drift підтвердив, що основою цієї атаки була соціальна інженерія та зловживання функцією Durable Nonce, а не класична вразливість у коді смартконтракту.
Q: Які дії вжив Drift після інциденту?
Drift заморозив усі функції протоколу, видалив скомпрометовані гаманці з мультипідпису та запросив компанії з кібербезпеки для проведення ретельного форензик-розслідування. Команда протоколу заявила, що співпрацює з правоохоронними органами для відстеження викрадених коштів.
