Обзор обстоятельств дела Drift: хакеры из Северной Кореи проникали 6 месяцев — как подготовили крупнейшее ограбление DeFi грядущей весной 2026 года

Drift подвергся проникновению со стороны северокорейской организации более полугода: с помощью социальной инженерии и Durable Nonce было похищено около 280 млн долларов активов, нанеся серьезный удар по безопасности и доверию в DeFi.

Тщательная подготовка на протяжении полугода: от светской беседы на встречах до ограбления на 280 млн

1 апреля, хотя это должен был быть день шуток и розыгрышей, в экосистеме Solana, ведущая платформа для бессрочных контрактов Drift Protocol, столкнулась с катастрофическим ударом. Этот взлом всего за 10 секунд привел к исчезновению примерно 280–286 млн долларов активов пользователей, став самым масштабным в сфере DeFi хакерским инцидентом с момента 2026 года.

• Соответствующие новости: DeFi-платформа Drift была взломана в День дурака! Хакер вывез активы на 270 млн долларов, ключ администратора стал уязвимостью

Согласно отчету о расследовании, опубликованному командой Drift после инцидента, причиной стало «структурированное разведывательное действие» — операция, зревшая более 6 месяцев и имеющая предпосылки уровня государства. Первичное расследование показывает, что операция имеет высокую связь с северокорейской группировкой угроз UNC4736 (также известной как AppleJeus или Citrine Sleet). Эта группировка в октябре 2024 года предприняла атаку на Radiant Capital на сумму 50 млн долларов. Диверсионное проникновение в Drift обошло традиционный поиск уязвимостей в коде и вместо этого сделало ставку на крайне точное ручное манипулирование, обходя многоуровневые защиты, включая аудиты кода и аппаратные кошельки.

Источник изображения: X/@DriftProtocol В отчете о расследовании, опубликованном командой Drift после инцидента, говорится, что этот случай берет начало в «структурированном разведывательном действии», вызревавшем более 6 месяцев и имеющем предпосылки уровня государства

Стратегия «теневых посредников» северокорейских хакеров

Эта долгосрочная афера началась с крупной криптовалютной конференции в октябре 2025 года. Тогда несколько человек, выдававших себя за представителей компаний, занимающихся количественной торговлей, напрямую вышли на ключевых участников Drift и выразили интерес к сотрудничеству в интеграции протокола и предоставлении ликвидности.

В течение последующих шести месяцев эти хакеры демонстрировали крайне высокий профессионализм и техническую грамотность. Они часто обсуждали торговые стратегии с разработчиками через каналы в Telegram и, более того, в период с декабря 2025 по январь 2026 года фактически развернули на Drift полностью функциональное «экосистемное хранилище (Ecosystem Vault)» и внесли более 1 млн долларов собственных средств, чтобы сформировать кредит доверия.

Важно отметить, что появившиеся на месте встречи представители, доказательно присутствовавшие на совещании, не были гражданами Северной Кореи. Это указывает на то, что северокорейские хакеры регулярно нанимают сторонние посреднические организации или идеальных с точки зрения личности агентов для проведения очной социальной инженерии. Такая модель «глубокого внедрения» помогла команде Drift снять настороженность и воспринимать скрытую угрозу как долгосрочного надежного партнера.

Durable Nonce и уязвимости в инструментах разработки

После того как удалось выстроить глубокое доверие, хакеры начали реализовывать финальный план взлома: они заражали рабочие устройства разработчиков, делясь вредоносной кодовой базой (Repo) или приглашая установить тестовое приложение (TestFlight). В ходе расследования установлено, что злоумышленники использовали серьезные проблемы безопасности, существовавшие в тогдашних инструментах разработки VSCode и Cursor: разработчикам достаточно было открыть в редакторе определенную папку — и вредоносный код автоматически выполнялся без каких-либо подсказок.

После того как хакерам удалось взять под контроль устройства двух членов Совета по безопасности (Security Council), они побудили их подписать команды авторизации с полномочиями управления. Затем они воспользовались легитимной особенностью сети Solana под названием «Durable Nonces», чтобы сохранять эти заранее подписанные команды транзакций в блокчейне на срок до недели, обходя обнаружение.

По состоянию на 1 апреля ловушка полностью сработала: хакеры выполнили 31 транзакцию на вывод средств за 10 секунд. Пострадавшие активы оказались очень разнообразными: среди них токен $JLP на 155 млн долларов, а также более 66,4 млн $USDC, 477 тыс. $WETH и другие популярные активы. В результате общая стоимость заблокированных средств (TVL) Drift упала с 550 млн долларов до менее чем 250 млн долларов, а нативная цена токена DRIFT снизилась более чем на 98%.

Спор о гражданской небрежности и угрозах со стороны AI: вынужденная смена модели как образец безопасности DeFi

Инцидент вызвал резкую критику со стороны юридического и технического сообществ. Крипто-юрист Ariel Givner отметил, что действия команды Drift могут квалифицироваться как «гражданская небрежность», поскольку команда разработчиков не соблюла базовые процедуры операционной безопасности, например, не хранила подписные ключи на полностью изолированном физическом устройстве (Air-gapped systems) и не открывала на устройствах, привязанных к управлению правами, файлы внешнего происхождения с непонятным источником.

Источник изображения: X/@GivnerAriel Крипто-юрист Ariel Givner отметил, что действия команды Drift могут квалифицироваться как «гражданская небрежность»

Параллельно технический директор Ledger Charles Guillemet предупреждал, что по мере развития и распространения AI эти издержки социальной инженерии высокой точности стремятся к нулю: AI способен генерировать крайне убедительные фальшивые личности и технические документы, из-за чего линия защиты людей становится все более хрупкой. В настоящее время Drift заморозил все функции протокола и пытается провести on-chain переговоры с кошельком хакеров, но общество в целом настроено довольно пессимистично относительно возврата средств.

Этот взлом дал всей отрасли тяжелое предупреждение: когда хакеры переключаются не на логику кода, а на удар по человеческой психологии, одной только многоподписной (multisig) модели управления уже недостаточно для гарантии безопасности активов; укрепление операционной дисциплины и аппаратная изоляция — единственный выход для защиты от угроз уровня государства.

Дополнительное чтение
Drift遭駭誰的錯？駭客跨鏈資產卻未凍結，ZachXBT痛批Circle失職