Сайна в цепочке: известный деривативный протокол Drift Protocol подвергся хакерской атаке 1 апреля, в результате которой было потеряно около 285M美元. Объем средств в залоге платформы (TVL) упал с примерно 550M美元 до инцидента до примерно 230M美元 после инцидента. Команда Drift затем опубликовала подробный отчет об исследовании, раскрыв, что это была социальная инженерная атака, продолжавшаяся 6 месяцев и поддержанная ресурсами уровня государства.
6 месяцев выжидания: от криптовалютной конференции до репозитория кода
Согласно расследованию Drift, злоумышленники начали развертывание еще осенью 2025 года. Они выступали под видом легитимной компании по количественной торговле и на нескольких криптовалютных конференциях устанавливали контакт с авторами/вкладчиками Drift, выстраивая видимые подлинными профессиональные отношения. В течение длительного периода проникновения, который составил 6 месяцев, злоумышленники:
создали группу в Telegram и обсуждали с командой Drift стратегии торговли
с реальными средствами (более 1M美元) создали доверие, разместив их в экосистемном Vault
провели несколько рабочих встреч в нескольких странах
В итоге вторжение, вероятно, было осуществлено через два канала: один вкладчик скопировал репозиторий кода, который мог использовать известную уязвимость в VSCode/Cursor; другой вкладчик загрузил TestFlight App, предоставленное злоумышленниками под видом «продукта для кошелька».
Технический прием: предварительно подписанные транзакции с Durable Nonce для обхода мультиподписей
На техническом уровне злоумышленники использовали в Solana механизм учетной записи «Durable Nonce» — функцию, которая позволяет предварительно подписывать транзакции и откладывать их выполнение. Злоумышленники применили это, чтобы заранее подготовить подписи для всех вредоносных транзакций, а после получения достаточных полномочий мгновенно выполнить их, оставив стороне защиты крайне мало времени на реакцию.
Злоумышленники быстро получили контроль над администрацией безопасностного комитета Drift, после чего очистили соответствующие активы. После инцидента Drift подчеркнул, что все участники мультиподписи использовали холодные кошельки, но даже это не смогло остановить атаку, демонстрируя, что «когда атака фиксируется на человеческом уровне, даже строгий аппаратный контроль может быть обойден».
Указание на Северную Корею UNC4736: та же группа, что и при атаках на Radiant Capital
Drift заявил, что с «высокой степенью уверенности» атрибуция атаки относится к UNC4736 (также известной как Citrine Sleet, AppleJeus) — хакерской организации, связанной с правительством Северной Кореи. В расследовании отмечено, что паттерн инцидента весьма совпадает с атакой, которая в октябре 2024 года привела к потерям Radiant Capital в размере 58M美元, и полагают, что это дело рук одной и той же группы исполнителей.
Критика в адрес Circle: почему не смогли заморозить украденные USDC немедленно?
После атаки еще одним спорным фокусом стала скорость реакции Circle. Согласно данным PeckShield, злоумышленники украли у Drift примерно 71M美元 USDC, а затем, после конвертации других украденных активов в USDC, через кроссчейн-трансферный протокол Circle (CCTP) перешли примерно 232M美元 USDC из Solana в Ethereum, из-за чего сложность возврата резко возросла.
Известный ончейн-исследователь ZachXBT раскритиковал действия Circle за чрезмерную медлительность и указал на ироничное сравнение: в тот же день, когда злоумышленники настроили учетную запись Durable Nonce (23 марта), Circle заморозила 16 коммерческих hot wallet-ов всего за несколько минут — поводом послужил один гражданский иск в США, однако перед DeFi-атакой масштабом значительно больше 9 位數 у нее не было сопоставимо быстрых действий.
Ответ Circle: «Circle — регулируемая компания, и мы работаем в обычном режиме в соответствии с требованиями по санкциям, решениями правоохранительных органов и судебными приказами. Мы замораживаем активы в случаях, когда это требуется законом, чтобы соблюдать принцип верховенства права и защищать права и конфиденциальность пользователей». Юрист Пламe также призвал законодательный орган создать механизм «гавани безопасности», чтобы эмитенты стейблкоинов могли замораживать активы при наличии разумных оснований полагать, что средства могут быть связаны с незаконной деятельностью, и при этом избегать гражданской ответственности.
Предупреждение для индустрии DeFi
Объявление Drift вызвало широкое внимание в отрасли. Эта атака наглядно показывает, что национальные хакерские организации проводят многомесячные действия HUMINT (человеческая разведка) против DeFi-протоколов, а не полагаются только на технические уязвимости. Ключевые выводы включают: не копировать внешние репозитории на машины, где находятся производственные ключи или мультиподписи; не устанавливать сторонние приложения и не открывать неизвестные ссылки; изоляция устройств и прав доступа должна быть реализована полностью и без компромиссов.
Эта статья: Drift Protocol похитили 285M美元: северокорейские хакеры готовились 6 месяцев, использовали Durable Nonce для обхода мультиподписей Впервые появляется в 鏈新聞 ABMedia.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
