Шестимесячная операция по сбору разведданных предшествовала эксплойту на $270 млн Drift Protocol и была проведена северокорейской группой, связанной с государством, сообщает подробное обновление об инциденте, опубликованное командой ранее в воскресенье.
Злоумышленники впервые вышли на контакт примерно осенью 2025 года на крупной криптоконференции, представляясь фирмой по количественной торговле, которая хочет интегрироваться с Drift.
По словам Drift, они были технически подкованы, имели проверяемые профессиональные биографии и понимали, как работает протокол. Была создана группа в Telegram, а затем последовали месяцы содержательных разговоров о торговых стратегиях и интеграциях с vault, взаимодействиях, которые являются стандартными для того, как торговые фирмы подключаются к DeFi-протоколам.
В период между декабрем 2025 и январем 2026 группа подключила Ecosystem Vault на Drift, провела несколько рабочих сессий с участниками, внесла более $1 млн собственного капитала и выстроила работоспособное операционное присутствие внутри экосистемы.
Участники Drift встречались с людьми из этой группы лицом к лицу на нескольких крупных отраслевых конференциях в нескольких странах в течение февраля и марта. К моменту запуска атаки 1 апреля отношения были почти полугодовой давности.
Похоже, компрометация произошла по двум векторам.
Во втором был загружен TestFlight — платформа Apple для распространения предрелизных приложений, которая обходит проверку безопасности App Store; это приложение группа представила как свой продукт-кошелёк.
По вектору репозитория Drift указал на известную уязвимость в VSCode и Cursor — двух из самых широко используемых редакторов кода в разработке ПО. С позднего 2025 года сообщество по безопасности отмечало её: достаточно было просто открыть файл или папку в редакторе, чтобы бесшумно выполнить произвольный код без какого-либо запроса или предупреждения.
Как только устройства были скомпрометированы, злоумышленники получили всё необходимое, чтобы оформить два multisig-одобрения, которые позволили длительно выполняемую nonce-атаку, о которой CoinDesk подробно сообщал ранее на этой неделе. Эти предварительно подписанные транзакции пролежали бездействующими более недели, прежде чем были исполнены 1 апреля, что привело к выводу $270 млн из vault’ов протокола менее чем за минуту.
Атрибуция указывает на UNC4736 — северокорейскую группу, также отслеживаемую как AppleJeus или Citrine Sleet. Это основано как на данных о потоках средств on-chain, которые прослеживаются до атакующих Radiant Capital, так и на операционном совпадении с известными персонами, связанными с DPRK.
Однако люди, которые, как сообщается, появлялись лично на конференциях, не были гражданами Северной Кореи. Акторы угроз уровня DPRK, как известно, задействуют третьих лиц-посредников с полностью сформированными идентичностями, историями занятости и профессиональными сетями, рассчитанными на то, чтобы выдерживать due diligence.
Drift призвал другие протоколы провести аудит механизмов контроля доступа и относиться к любому устройству, взаимодействующему с multisig, как к потенциальной цели. Более широкая подоплёка неприятна для отрасли, которая полагается на multisig-управление как на свою основную модель безопасности.
Но если атакующие готовы потратить шесть месяцев и миллион долларов, чтобы построить легитимное присутствие внутри экосистемы, встречаться с командами лично, вкладывать реальные средства и ждать — тогда возникает вопрос: какая модель безопасности предназначена для того, чтобы это ловить.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Центральный банк Бразилии запретил стейблкоины и крипторасчёты в трансграничных платежах
В последнее время центральный банк Бразилии запретил стейблкоины и криптовалюты использовать для расчетов в трансграничных платежах. Ограничение распространяется на финтех-компании и платежные организации, фактически закрывая «задний» платежный рельс для трансграничных потоков. Однако индивидуальные криптоинвесторы по-прежнему могут покупать и
GateNews1ч назад
США будут направлять суда через Ормузский пролив, а рубеж в $80 000 для биткоина по-прежнему остается важным ориентиром для наблюдения
Напряженность на Ближнем Востоке сохраняется; США заявляют, что будут направлять суда, не вовлеченные в конфликт, через пролив Хор ф, при этом переговоры с Ираном охарактеризовали как «крайне позитивные». OPEC+ увеличил добычу на 188 тыс. баррелей в сутки без учета ОАЭ, а нефтяной рынок колеблется из‑за дипломатических факторов и изменений в поставках. Биткоин приближается к 80 тыс., но из-за структуры опционов все еще сдержан и с трудом пробивает уровень; вслед за ним растет ETH. Спрос на ИИ‑чипы остается сильным: в центре внимания финансовые отчеты Palantir и AMD, при этом рынок следит за ростом инвестиций в ИИ и перспективами технологических акций.
ChainNewsAbmedia3ч назад
Nobitex основана сыновьями элитной иранской семьи, связанной с высшими руководителями — выяснил Reuters
Согласно расследованию Reuters, опубликованному в пятницу, Nobitex — доминирующая в Иране криптобиржа — была основана братьями Али и Мохаммадом Кхарраци, представителями элитной политической семьи, связанной брачными узами со всеми тремя верховными лидерами Ирана. Братья зарегистрировали компанию в 2018 году вместе с генеральным директором
GateNews3ч назад
Деннис Портер: В США рассматривают Bitcoin как инструмент национальной безопасности, National Security Tool
Деннис Портер, основатель Satoshi Action, объяснил, что правительство и военные США меняют взгляд на Bitcoin: теперь его рассматривают не просто как финансовую инвестицию, а как критически важный элемент национальной обороны. По словам Портера, Bitcoin все чаще считают «элементом национальной безопасности»
CryptoFrontier6ч назад
США отвечают на 14-пунктное предложение Ирана; Bitcoin $79K затем отступает на фоне геополитических переговоров
По данным BlockBeats, 4 мая переговоры США и Ирана перешли к этапу обмена текстами по существу после дипломатических встреч. Иран направил через Пакистан 14-пунктное предложение, в котором описал дорожную карту из трёх фаз: полное прекращение огня в течение 30 дней, снятие блокады портов и возобновление работы Ормузского пролива.
GateNews6ч назад
Кредиторы Северной Кореи добились обеспечительного судебного приказа о взыскании 30 766 ETH на Arbitrum 1 мая
По данным The Block, 1 мая юристы, представляющие кредиторов, пострадавших от терроризма со стороны Северной Кореи, вручили Arbitrum DAO судебное уведомление о запрете, не позволяющее выпустить 30 766 ETH (~71.1 миллиона долларов), которые Арбитражный совет Arbitrum заморозил 20 апреля после эксплойта Kelp DAO. В уведомлении названа Arbitrum DAO
GateNews8ч назад
