Elliptic в четверг заявила, что эксплойт Drift Protocol на $285 млн, крупнейший в этом году, несет “несколько индикаторов” участия северокорейской государственно спонсируемой хакерской группы DPRK.
Исследовательская фирма указала на конкретные признаки в ончейн-поведение, методы отмывания средств и сигналы на уровне сети — все они согласуются с предыдущими атаками, связанными с государством.
Drift Protocol, чей токен упал более чем на 40% примерно до $0.06 с момента взлома, является крупнейшей децентрализованной платформой бессрочных фьючерсов на блокчейне Solana.
“Если это подтвердится, этот инцидент будет восемнадцатым действием DPRK, которое Elliptic отслеживала в этом году, при этом похищено уже более $300 млн”, — говорится в отчете.
“Это продолжение устойчивой кампании DPRK по хищению криптоактивов в крупных масштабах, с финансированием ее программ вооружений, с которой правительство США связало этот вид деятельности. Считается, что акторы, связанные с DPRK, ответственны за хищения криптоактивов на миллиарды долларов в последние годы”, — добавила Elliptic.
За несколько часов до этого данные Arkham показали, что из Drift было перемещено более $250 млн на промежуточный кошелек, а затем — на различные другие адреса.
В декабре отчет Chainalysis раскрывал, что хакеры DPRK украли рекордные $2 млрд криптовалюты в 2025 году, включая взлом Bybit на $1.4 млрд, что соответствует росту на 51% по сравнению с предыдущим годом. В прошлом месяце Министерство финансов США заявило, что Северная Корея использует похищенные активы для финансирования программы оружия массового уничтожения страны.
Вместо фокуса на самом эксплойте анализ Elliptic подчеркивает знакомый операционный паттерн. Похоже, что активность была “преднамеренной и тщательно подготовленной”: до главного события имели место ранние тестовые транзакции и кошельки, заранее размещенные заранее.
В отчете объясняется, что после выполнения средства быстро консолидировались и обменивались, перекидывались через мосты между цепочками и конвертировались в более ликвидные активы — что отражает структурированный, повторяемый процесс отмывания, призванный скрывать происхождение при сохранении контроля.
Одна из ключевых проблем, отмечает Elliptic, — модель аккаунтов Solana. Поскольку каждый актив хранится в отдельном токен-аккаунте, активность, связанная с одним субъектом, может выглядеть фрагментированной по множеству адресов. Без связывания этого воедино следователи рискуют увидеть “фрагменты деятельности атакующего, а не полную картину”.
Именно здесь отчет Elliptic подчеркивает подход с кластеризацией: он связывает токен-аккаунты обратно в рамках одной сущности, позволяя идентифицировать экспозицию независимо от того, какой адрес проверяется. В инциденте, затрагивающем более десятка типов активов, взгляд на уровне сущности становится критически важным.
Этот случай также подчеркивает, добавляет Elliptic в своем отчете, насколько отмывание стало по сути кроссчейн. Средства, перемещенные с Solana на Ethereum и далее, демонстрируют необходимость того, что Elliptic описала как “комплексные возможности кроссчейн-трассировки”.