Как государственные хакеры взломали DeFi? Глубокое расследование инцидента с взломом Drift

Атаки в рамках криптографических инцидентов безопасности резко смещаются с уровня кода на уровень человеческого доверия.

1 апреля 2026 года протокол децентрализованных деривативов Drift Protocol из Solana-экосистемы подвергся атаке: ущерб составил около 285 млн долларов. Общий объем средств в залоге (TVL) упал с примерно 550 млн долларов до инцидента до около 230 млн долларов. Впоследствии Drift опубликовал предварительные результаты расследования, которые подтвердили, что эта акция была спланирована хакерской группировкой UNC4736, связанной с правительством Северной Кореи, — «структурированной разведывательной операцией, длившейся 6 месяцев».

Это изменение, раскрытое данным выводом, выходит далеко за рамки одного инцидента безопасности: когда государственные хакеры переносят фокус атаки с поиска уязвимостей в коде на проникновение в человеческое доверие, длящееся месяцами, весь безопасностный парадигм DeFi системно переписывается. Атаке больше не нужны сложные уязвимости смарт-контрактов или кража приватных ключей — ей достаточно выдержанного фрагмента отношений, тщательно замаскированной личности и достаточного количества времени.

Как работает механизм атаки?

План действий UNC4736 демонстрирует организационную дисциплину и вовлечение ресурсов, существенно превосходящие обычные хакерские группировки. Начиная с осени 2025 года люди, маскирующиеся под компании, занимающиеся количественной торговлей, начали в ходе нескольких международных криптоконференций активно вступать в контакт с участниками Drift. Эти лица свободно говорят на техническом языке, имеют проверяемый профессиональный бэкграунд и знакомы с тем, как устроена работа Drift. Важно, что лично встречавшиеся с ними люди не являются гражданами Северной Кореи, а были идентифицированы как третьи стороны-посредники, развернутые угрозным актором Северной Кореи.

После выстраивания доверия в период с декабря 2025 по январь 2026 года эта группа разместила в Drift-экосистеме экосистемный казначейский хранилище и фактически внесла более 1 млн долларов собственных средств, чтобы сформировать доверие. В процессе они вели подробные и профессиональные обсуждения продуктовых вопросов с несколькими участниками.

Техническое проникновение реализовывалось по двум путям: одного из участников удалось скомпрометировать при клонировании репозитория с вредоносным кодом. Этот репозиторий использовал уязвимости, которые безопасностное сообщество постоянно предупреждало в редакторах VSCode и Cursor: достаточно открыть в редакторе файл, папку или репозиторий, чтобы тихо выполнить произвольный код — без каких-либо подсказок пользователю или кликов; другой участник был обманут с помощью платформы Apple TestFlight, где ему предложили скачать фальшивое приложение-кошелек. Получив внутренние права, атакующие использовали нативную для Solana функцию Durable Nonce, чтобы заранее подписать транзакцию; после прохождения многоподписного одобрения операция выполнялась мгновенно — с очисткой.

Какую цену приносит такая модель атаки?

Цена инцидента Drift многомерна и выходит далеко за пределы лишь 285 млн долларов отраженного в учете ущерба.

Самая непосредственная цена проявляется в потере средств и рыночном ударе. Эта атака стала крупнейшим на тот момент (на 2026 год) безопасностным инцидентом в DeFi и вторым по величине безопасностным инцидентом в истории экосистемы Solana. После инцидента цена токена DRIFT какое-то время падала с исторического пика более чем на 90%.

Еще более настораживающим является эффект передачи атаки. Протоколы, затронутые инцидентом с уязвимостью Drift, расширились с первоначальных 11 до более чем 20: в число добавленных входят PiggyBank, Perena, Vectis, Prime Numbers Fi и другие протоколы. У части протоколов были приостановлены функции чеканки, выкупа или внесения/вывода средств. Децентрализованный протокол кредитования Project 0 приостановил работу и запустил процесс де-левереджа, при котором активы кредиторов в среднем были списаны на 2,61%.

А самая глубокая и при этом наименее поддающаяся количественной оценке цена — это подрыв основы доверия в сфере безопасности DeFi. После инцидента Drift подчеркнул, что все участники многоподписи использовали холодные кошельки, но это все равно не смогло предотвратить атаку. Это показывает, что когда атака нацелена на человеческий слой, даже строгий аппаратный контроль может быть обойден. Если атакующие действуют полгода под видом реальной организации, вкладывают средства, участвуют в экосистеме, то существующие системы безопасности практически не способны их обнаружить.

Что это означает для ландшафта DeFi?

Инцидент Drift вынуждает всю отрасль заново оценить фундаментальный вопрос: сохраняются ли прежние предположения о безопасности децентрализованных финансов.

Одно из важных отраслевых размышлений сосредоточено на структурной уязвимости системы доверия к третьим посредникам. Путь атаки UNC4736 раскрывает, что текущая DeFi-экосистема не имеет механизма системного безопасностного аудита и постоянного мониторинга новых партнеров. То, что в отрасли считается нормальной коммерческой активностью — контакты на конференциях, общение в мессенджерах, размещение в экосистемном казначействе — как раз и становится лучшей маскировкой для проникновения на уровне государственных хакеров.

Еще одна спорная тема, которую нельзя игнорировать, связана с соответствием (compliance) в процессе возврата средств. Ончейн-следователи указали, что атакующие посредством протоколов кроссчейн-переводов переместили около 232 млн долларов USDC с моста Solana на Ethereum, тогда как у эмитента стейблкоинов был примерно 6-часовой окно для заморозки этой части средств, но он не предпринял действий. Этот спор затрагивает более глубокую институциональную проблему: когда сами защитные механизмы безопасности DeFi-протоколов выходят из строя, сможет ли подобный «гибридный» подход, где рассчитывают на комплаенс-реакцию централизованного эмитента стейблкоинов, оставаться устойчивым? И где проходит граница действий комплаенс-сущностей при столкновении с крупномасштабным движением средств?

Как это может развиваться в будущем?

Судя по текущему прогрессу расследования и реакции отрасли, уже проявились несколько тенденций.

Безопасностные бюджеты будут системно пересматриваться. По данным 2025 года, общие потери в глобальной криптобезопасности превысили 3,4 млрд долларов; в Web3 за 2025 год зафиксировано 89 подтвержденных инцидентов безопасности, суммарные потери составили 2,54 млрд долларов. На фоне того, что атаки на государственном уровне становятся все более обычными, стратегии, опирающиеся только на аудит кода и тестирование безопасности, окажутся недостаточными. Ожидается, что больше протоколов вложат дополнительные ресурсы в безопасностное обучение для операторов, отработку обороны от социальной инженерии и процедуры проверки бэкграунда.

Передача рисков между протоколами станет новым измерением безопасностного фокуса. Эффект инцидента Drift, затронувшего более 20 протоколов, показывает, что композитируемость DeFi в безопасностном измерении — это обоюдоострый меч. В будущем могут появиться два типа подходов: во-первых, изоляция зависимостей на уровне протоколов и безопасностная градация; во-вторых, создание в отрасли единого механизма реагирования на инциденты и обмена информацией.

Граница регулирования и комплаенса будет предметом дальнейшей борьбы. Стандарты действий эмитентов стейблкоинов в подобных инцидентах станут центральной темой регуляторных обсуждений и могут привести к появлению срочных рамок реагирования на перемещение криптоактивов через границы.

Какие потенциальные риски все еще остаются в зоне предупреждения?

Хотя Drift заморозил все функции всех протоколов и вывел пострадавшие кошельки из многоподписных схем, все еще есть несколько измерений риска, за которыми стоит продолжать внимательно следить.

Необратимость возврата средств. После осуществления кражи атакующие быстро удалили записи в мессенджерах и вредоносное ПО, а ончейн-средства уже были переведены через кроссчейн-мост в сеть Ethereum. Хакерские организации Северной Кореи исторически обладают зрелыми сетями отмывания денег и возможностями кроссчейн-микшинга; большая часть украденных средств могла уже оказаться в каналах, которые сложно вернуть.

Асимметричная конкуренция в области отраслевых компетенций безопасности. Государственные хакерские группировки располагают организационными ресурсами, постоянной финансовой поддержкой и специализацией, тогда как подавляющее большинство DeFi-протоколов работают небольшими командами, с ограниченными возможностями для распределения ресурсов на безопасность. Эта асимметрия системно используется атакующими. Используемые ими личности уже собраны в виде полной профессиональной истории, публичных удостоверений личности и профессиональных социальных связей, что позволяет им выдерживать нормальные проверки в рамках коммерческого сотрудничества.

Усталость от доверия, подавляющая инновации отрасли. Если для каждого нового партнера требуется проходить строгий безопасностный аудит и постоянный мониторинг, ключевое преимущество DeFi — открытость и композитируемость — будет подвержено риску размывания. Как найти баланс между безопасностной защитой и операционной эффективностью — это трудный вопрос, на который отрасли придется ответить.

Итог

Инцидент, связанный с взломом Drift, вскрыл реальность, которая долго игнорировалась: угрозы безопасности для DeFi-индустрии уже завершили поколенческий скачок. От уязвимостей смарт-контрактов и кражи приватных ключей до сегодняшнего проникновения через социальную инженерию, длящегося 6 месяцев на государственном уровне, — скорость тактической эволюции атакующих намного выше скорости итерации оборонительных систем. Когда атакующим больше не нужно взламывать код, а достаточно взломать доверие одного человека, эффективность традиционных инструментов безопасности — многоподписи, холодных кошельков, аппаратной изоляции — пересматривается заново.

Отрасли нужны не только более совершенный аудит кода и более строгий контроль доступа, но и совершенно новая модель мышления о безопасности: считать «человеческое доверие» таким же важным вектором атаки, как «код смарт-контрактов». От проверки бэкграунда до культуры операционной безопасности, от постоянного мониторинга экосистемных партнеров до кросс-протокольной координации механизмов реагирования на инциденты — каждый этап должен быть переопределен. В новой нормальности криптобезопасности, когда на поле выходят силы государственного уровня, не один протокол не может действовать в стороне — вся цепочка защит отрасли может обеспечивать только ту прочность, которую имеет ее самое слабое звено.

FAQ

В: UNC4736 — это тот же самый объект, что и Lazarus?

UNC4736 — это кодовое имя, используемое компанией по безопасности для отслеживания угроз-актеров, связанных с правительством Северной Кореи, и пересекается с более известной Lazarus Group, но не является полностью тождественным. Считается, что UNC4736 выполняет в криптовалютной сфере более устойчивые задачи по получению базового дохода, сосредоточенные на постоянном проникновении в небольшие и средние по масштабу цели.

В: Почему многоподпись в Drift все равно не смогла остановить атаку?

Атакующие не украли напрямую приватные ключи многоподписи. Вместо этого, получив права на многоподписное одобрение через социальную инженерию, они использовали функцию Solana Durable Nonce, чтобы заранее подписать транзакцию; после получения достаточных прав операция выполнялась мгновенно. Это показывает, что предпосылка безопасности механизма многоподписи — отсутствие управления подписантами со стороны социальной инженерии.

В: Была ли в этой атаке задействована уязвимость смарт-контракта?

Нет. Официально подтверждено, что в основе этой атаки лежит проникновение через социальную инженерию и злоупотребление функцией Durable Nonce, а не уязвимости традиционного кода смарт-контрактов.

В: Какие меры предпринял Drift после инцидента?

Drift заморозил все функции протоколов, вывел пострадавшие кошельки из многоподписных схем и пригласил компании по безопасности для участия в глубоком расследовании с фиксацией доказательств. Команда протокола заявила, что сотрудничает с правоохранительными органами и пытается отслеживать украденные средства.