Шестимесячная операция по сбору разведданных предшествовала эксплойту Drift Protocol на $270 млн и была проведена группой, связанной с северокорейским государством, сообщает подробное обновление о происшествии, опубликованное командой ранее в воскресенье.
Атакующие впервые вышли на контакт примерно осенью 2025 года на крупной криптовалютной конференции, представившись фирмой по количественной торговле, которая хочет интегрироваться с Drift.
Они были технически подкованы, имели проверяемые профессиональные биографии и понимали, как работает протокол, говорится в сообщении Drift. Была создана группа в Telegram, а затем последовали месяцы содержательных обсуждений торговых стратегий и интеграций с вейлтами — взаимодействий, которые являются стандартными для того, как торговые фирмы подключаются к DeFi-протоколам.
В период с декабря 2025 по январь 2026 группа подключила Ecosystem Vault на Drift, провела несколько рабочих сессий с участниками, внесла более $1 млн собственных средств и выстроила рабочее операционное присутствие внутри экосистемы.
Сотрудники Drift встречались с представителями этой группы лично на нескольких крупных отраслевых конференциях в нескольких странах в феврале и марте. К моменту запуска атаки 1 апреля отношениям было почти полгода.
Похоже, что компрометация произошла через два вектора.
Второй загрузил приложение TestFlight — платформу Apple для распространения приложений до релиза, которая обходит проверку безопасности App Store, — и это приложение группа представила как свой продукт-кошелек.
Для вектора с репозиторием Drift указал на известную уязвимость в VSCode и Cursor — двух из самых широко используемых редакторов кода в разработке ПО, — о которой сообществу по безопасности было известно еще с конца 2025 года: достаточно было просто открыть файл или папку в редакторе, чтобы безмолвно выполнить произвольный код без запроса или предупреждения любого рода.
После того как устройства были скомпрометированы, у атакующих уже было все необходимое, чтобы получить два мультиподписи, которые позволили осуществить атаку с долговременным nonce, о которой CoinDesk подробно писал ранее на этой неделе. Эти предписанные транзакции оставались бездействующими более недели, прежде чем были выполнены 1 апреля, выведя $270 млн из вейлтв протокола менее чем за минуту.
Атрибуция указывает на UNC4736 — группу, связанную с северокорейским государством, также отслеживаемую как AppleJeus или Citrine Sleet, — на основании как потоков средств on-chain, прослеживаемых до атакующих Radiant Capital, так и операционного совпадения с известными персонами, связанными с DPRK.
Однако люди, которые появлялись лично на конференциях, не были гражданами Северной Кореи. Акторы угроз уровня DPRK, как известно, используют третьих посредников с полностью выстроенными личностями, историями занятости и профессиональными сетями, созданными так, чтобы выдерживать due diligence.
Drift призвал другие протоколы провести аудит механизмов контроля доступа и относиться к каждому устройству, имеющему дело с мультиподписью, как к потенциальной цели. Более широкий вывод неприятен для отрасли, которая опирается на мультиподписи как на свою основную модель безопасности.
Но если атакующие готовы потратить шесть месяцев и миллион долларов, чтобы создать легитимное присутствие внутри экосистемы, встретиться с командами лично, внести реальные средства и подождать — то возникает вопрос: какая модель безопасности предназначена для того, чтобы такое поймать.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Семьи добиваются замороженных ETH в Arbitrum для жертв Северной Кореи
Семьи, владеющие вынесенными десятилетия назад судебными решениями против Северной Кореи, пытаются добиться ареста 30 765 ETH, замороженных в Arbitrum, после взлома rsETH в прошлом месяце. Эти семьи подали в Нью-Йорке запретительное уведомление (restraining notice), чтобы помешать Arbitrum разблокировать средства, ссылаясь на предполагаемые связи между att
CryptoFrontier43м назад
Северная Корея отрицает кражу криптовалюты после того, как $577M было похищено в 2026
Корейская Народно-Демократическая Республика опровергла обвинения в краже криптовалют, поддерживаемой государством, даже несмотря на то, что блокчейн-аналитическая компания TRM Labs сообщила, что связанные с КНДР акторы украли приблизительно $577 миллионов в первые четыре месяца 2026 года. Представитель внешнеполитического ведомства режима
CryptoFrontier7ч назад
Bitcoin откатывается с максимума $80,594 до $79,000 после сообщения о ракетном ударе Ирана; нефть растёт на 5%
По данным иранского новостного агентства Fars, сегодня поразили два ракеты американский военный корабль, что вызвало резкий откат Bitcoin с максимума $80,594 примерно до $79,000. На этом сообщении цены на нефть выросли на 5%, однако затем в США опровергли данное утверждение. Ethereum, Solana и Dogecoin резко снизились вслед за более широким рынком
GateNews8ч назад
Министр финансов США Бессент: Глобальные поставки нефти будут «весьма хорошо обеспечены» на фоне разрыва в 8–10 млн баррелей в день
По словам министра финансов США Бессента от 4 мая, Соединённые Штаты контролируют пролив Ормуз, и глобальные поставки нефти будут «вполне обеспечены» несмотря на текущие конфликты. Бессент заявил, что глобальный дефицит нефти, вызванный продолжающимся конфликтом, составляет примерно 8–10 миллионов баррелей в…
GateNews11ч назад
Геополитические переговоры переплетаются с голубиными ожиданиями по данным: структурные наблюдения за крипторынком на этой неделе
Иранско-американские переговоры подают позитивные сигналы, но параллельно ускоряется подготовка к войне; контроль над Ормузским проливом сталкивается с поворотным моментом. Данные по занятости в США могут усилить ожидания «голубиного» сценария, а BTC спустя три месяца снова торгуется выше 80 000 долларов.
GateInstantTrends14ч назад
Основатели Nobitex связаны с иранской элитной политической семьёй, связанной с верховными лидерами — расследование Reuters
Согласно расследованию Reuters, опубликованному в пятницу, Nobitex, крупнейшая криптобиржа в Иране с примерно 11 миллионами пользователей, на которую приходится около 70% криптовалютной активности страны, была основана братьями Али и Мохаммадом Хараззи. Их семья связана брачными отношениями со всеми тремя членами высшего
GateNews14ч назад
