Шестимісячна розвідувальна операція передувала експлойту Drift Protocol на $270 млн і була проведена групою, що афілійована з державною структурою Північної Кореї, згідно з детальним оновленням інциденту, опублікованим командою раніше в неділю.
Зловмисники вперше вийшли на контакт приблизно восени 2025 року на великій криптоконференції, представившись фірмою кількісної торгівлі, яка хоче інтегруватися з Drift.
Вони були технічно підкованими, мали підтверджувані професійні біографії та розуміли, як працює протокол, заявив Drift. Було створено Telegram-групу, а далі відбулися місяці змістовних розмов щодо торговельних стратегій і інтеграцій із сейфами, взаємодій, які є типовими для того, як торгові фірми підключаються до DeFi-протоколів.
Між груднем 2025 року та січнем 2026 року група підключила Ecosystem Vault на Drift, провела кілька робочих сесій із дописувачами, внесла понад $1 млн власного капіталу та створила дієву операційну присутність усередині екосистеми.
Дописувачі Drift зустрічалися з людьми з цієї групи наживо на кількох великих галузевих конференціях у кількох країнах упродовж лютого та березня. До моменту запуску атаки 1 квітня стосункам уже було майже пів року.
Схоже, компрометація сталася через два вектори.
Другий завантажив застосунок TestFlight — платформу Apple для поширення попередніх релізів застосунків, яка обходить перевірку безпеки App Store, яку група представила як свій продукт-гаманець.
Щодо вектору репозиторію, Drift вказав на відому вразливість у VSCode та Cursor — двох із найширше використовуваних редакторів коду в розробці програмного забезпечення, — яку спільнота з безпеки відстежувала ще з кінця 2025 року. Там було достатньо просто відкрити файл або папку в редакторі, щоб безшумно виконати довільний код без будь-якого запиту чи попередження.
Після того як пристрої були скомпрометовані, зловмисники отримали те, що їм було потрібно, щоб отримати дві multisig-підтвердження, які дали змогу атакі з тривалим nonce, яку CoinDesk описав раніше цього тижня. Ці попередньо підписані транзакції понад тиждень пролежали бездіяльно, перш ніж бути виконаними 1 квітня, вивівши $270 млн із сейфів протоколу менш ніж за хвилину.
Атрибуція вказує на UNC4736 — групу, афілійовану з північнокорейською державою, яку також відстежують як AppleJeus або Citrine Sleet. Це ґрунтується і на даних ончейн про потоки коштів, які простежуються до атакувальників Radiant Capital, і на операційному збігу з відомими персонами, пов’язаними з DPRK.
Однак люди, які з’являлися наживо на конференціях, не були громадянами Північної Кореї. Загрозливі актори DPRK на цьому рівні, як відомо, використовують третіх посередників із повністю сформованими особистостями, історіями працевлаштування та професійними мережами, збудованими так, щоб витримувати due diligence.
Drift закликав інші протоколи проводити аудит елементів контролю доступу й вважати кожен пристрій, який торкається multisig, потенційною мішенню. Загальніший висновок неприємний для індустрії, яка спирається на multisig-управління як свою основну модель безпеки.
Але якщо атакувальники готові витратити шість місяців і мільйон доларів, щоб побудувати легітимну присутність в екосистемі, зустрітися з командами наживо, внести реальний капітал і дочекатися моменту, тоді постає запитання: яка модель безпеки розроблена, щоб це вловити.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
