Шестимесячная операция по сбору разведданных предшествовала эксплойту на $270 млн Drift Protocol и была проведена северокорейской группой, связанной с государством, сообщает подробное обновление об инциденте, опубликованное командой ранее в воскресенье.
Злоумышленники впервые вышли на контакт примерно осенью 2025 года на крупной криптоконференции, представляясь фирмой по количественной торговле, которая хочет интегрироваться с Drift.
По словам Drift, они были технически подкованы, имели проверяемые профессиональные биографии и понимали, как работает протокол. Была создана группа в Telegram, а затем последовали месяцы содержательных разговоров о торговых стратегиях и интеграциях с vault, взаимодействиях, которые являются стандартными для того, как торговые фирмы подключаются к DeFi-протоколам.
В период между декабрем 2025 и январем 2026 группа подключила Ecosystem Vault на Drift, провела несколько рабочих сессий с участниками, внесла более $1 млн собственного капитала и выстроила работоспособное операционное присутствие внутри экосистемы.
Участники Drift встречались с людьми из этой группы лицом к лицу на нескольких крупных отраслевых конференциях в нескольких странах в течение февраля и марта. К моменту запуска атаки 1 апреля отношения были почти полугодовой давности.
Похоже, компрометация произошла по двум векторам.
Во втором был загружен TestFlight — платформа Apple для распространения предрелизных приложений, которая обходит проверку безопасности App Store; это приложение группа представила как свой продукт-кошелёк.
По вектору репозитория Drift указал на известную уязвимость в VSCode и Cursor — двух из самых широко используемых редакторов кода в разработке ПО. С позднего 2025 года сообщество по безопасности отмечало её: достаточно было просто открыть файл или папку в редакторе, чтобы бесшумно выполнить произвольный код без какого-либо запроса или предупреждения.
Как только устройства были скомпрометированы, злоумышленники получили всё необходимое, чтобы оформить два multisig-одобрения, которые позволили длительно выполняемую nonce-атаку, о которой CoinDesk подробно сообщал ранее на этой неделе. Эти предварительно подписанные транзакции пролежали бездействующими более недели, прежде чем были исполнены 1 апреля, что привело к выводу $270 млн из vault’ов протокола менее чем за минуту.
Атрибуция указывает на UNC4736 — северокорейскую группу, также отслеживаемую как AppleJeus или Citrine Sleet. Это основано как на данных о потоках средств on-chain, которые прослеживаются до атакующих Radiant Capital, так и на операционном совпадении с известными персонами, связанными с DPRK.
Однако люди, которые, как сообщается, появлялись лично на конференциях, не были гражданами Северной Кореи. Акторы угроз уровня DPRK, как известно, задействуют третьих лиц-посредников с полностью сформированными идентичностями, историями занятости и профессиональными сетями, рассчитанными на то, чтобы выдерживать due diligence.
Drift призвал другие протоколы провести аудит механизмов контроля доступа и относиться к любому устройству, взаимодействующему с multisig, как к потенциальной цели. Более широкая подоплёка неприятна для отрасли, которая полагается на multisig-управление как на свою основную модель безопасности.
Но если атакующие готовы потратить шесть месяцев и миллион долларов, чтобы построить легитимное присутствие внутри экосистемы, встречаться с командами лично, вкладывать реальные средства и ждать — тогда возникает вопрос: какая модель безопасности предназначена для того, чтобы это ловить.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
МВФ снизил прогноз роста мировой экономики на 2026 год до 3,1%, а основным сдерживающим фактором стали боевые действия на Ближнем Востоке
Новость от Gate News, 14 апреля, Международный валютный фонд (IMF) опубликовал последний выпуск «World Economic Outlook Report», снизив прогноз роста мировой экономики на 2026 год на 0.2 процентного пункта до 3.1%. В отчете указано, что ближневосточный конфликт уже существенно повлиял на текущий импульс роста мировой экономики. Если боевые действия и высокие цены на нефть сохранятся дольше, то темпы роста мировой экономики в этом году снизятся до 2.5% или даже ниже.
GateNews42м назад
Науру назначает криптопредпринимателя Dadvan Yousuf уполномоченным по международной торговле, продвигая стратегию цифровых активов
Науру назначил криптового предпринимателя Дадвана Юсуфа международным торговым уполномоченным, чтобы продвигать стратегию цифровых активов, привлекать глобальные инвестиции, укреплять сотрудничество с провайдерами виртуальных услуг и технологическими компаниями, а также способствовать тому, чтобы Науру стал центром виртуальных активов.
GateNews3ч назад
Рейтер: делегации США и Ирана проведут переговоры на более поздней неделе в Пакистане
Новости от Gate News, 14 апреля, Рейтер со ссылкой на источники сообщает, что представители США и Ирана проведут переговоры в столице Пакистана Исламабаде ближе к концу этой недели.
GateNews6ч назад
Найджел Фарадж вложил 2 млн фунтов стерлингов в биткоин, став первым в Великобритании публично владеющим криптовалютой депутатом
Лидер Партии реформ Великобритании Найджел Фараж приобрёл биткоин примерно на 2 млн фунтов стерлингов, став первым действующим членом парламента, публично раскрывшим инвестиции такого масштаба. Этот шаг демонстрирует поддержку его партии криптовалютам и может вызвать обсуждения влияния на криптополиитику Великобритании и возможного конфликта интересов. Фараж осуществлял инвестиции через Stack BTC, усиливая одновременно политическую и финансовую легитимность.
MarketWhisper7ч назад
Американские банки выражают сомнения в отчётах Белого дома о доходности стейблкоинов, опасаясь рисков оттока депозитов
Американский банковский сектор подверг критике отчет администрации Белого дома о доходности стейблкоинов, полагая, что в отчете игнорируется влияние стейблкоинов на отток средств со счетов вкладчиков, что может привести к росту стоимости финансирования и сокращению объемов локального кредитования. В настоящее время обе стороны ведут переговоры по законопроекту в Сенате, а запрет на выплаты процентов по стейблкоинам является главным предметом спора.
GateNews8ч назад
Банковская отрасль ставит под сомнение доклад Белого дома о стейблкоинах: кризис с намеренно обойденным оттоком депозитов из общественных банков
Американская ассоциация банкиров критикует исследовательскую методологию доклада Белого дома о стейблкоинах, указывая, что она игнорирует риск оттока депозитов, который может быть вызван запретом на получение дохода от стейблкоинов. В докладе Белого дома говорится, что запрет оказывает незначительное влияние на банковское кредитование: он добавляет лишь 2,1 млрд долларов, но ABA считает, что этот вопрос в рамках не отражает риски, которые на деле наносят ущерб общественным банкам и поддержке местной экономики. Этот спор также связан с текущим законодательством о регулировании криптовалют, которое влияет на будущее развитие стейблкоинов и банковскую конкурентную среду.
MarketWhisper8ч назад
