Drift заявляет, что эксплуатация на $270 миллионов была шестимесячной операцией северокорейской разведки

Шестимесячная операция по сбору разведданных предшествовала эксплойту Drift Protocol на $270 млн и была проведена группой, связанной с северокорейским государством, сообщает подробное обновление о происшествии, опубликованное командой ранее в воскресенье.

Атакующие впервые вышли на контакт примерно осенью 2025 года на крупной криптовалютной конференции, представившись фирмой по количественной торговле, которая хочет интегрироваться с Drift.

Они были технически подкованы, имели проверяемые профессиональные биографии и понимали, как работает протокол, говорится в сообщении Drift. Была создана группа в Telegram, а затем последовали месяцы содержательных обсуждений торговых стратегий и интеграций с вейлтами — взаимодействий, которые являются стандартными для того, как торговые фирмы подключаются к DeFi-протоколам.

В период с декабря 2025 по январь 2026 группа подключила Ecosystem Vault на Drift, провела несколько рабочих сессий с участниками, внесла более $1 млн собственных средств и выстроила рабочее операционное присутствие внутри экосистемы.

Сотрудники Drift встречались с представителями этой группы лично на нескольких крупных отраслевых конференциях в нескольких странах в феврале и марте. К моменту запуска атаки 1 апреля отношениям было почти полгода.

Похоже, что компрометация произошла через два вектора.

Второй загрузил приложение TestFlight — платформу Apple для распространения приложений до релиза, которая обходит проверку безопасности App Store, — и это приложение группа представила как свой продукт-кошелек.

Для вектора с репозиторием Drift указал на известную уязвимость в VSCode и Cursor — двух из самых широко используемых редакторов кода в разработке ПО, — о которой сообществу по безопасности было известно еще с конца 2025 года: достаточно было просто открыть файл или папку в редакторе, чтобы безмолвно выполнить произвольный код без запроса или предупреждения любого рода.

После того как устройства были скомпрометированы, у атакующих уже было все необходимое, чтобы получить два мультиподписи, которые позволили осуществить атаку с долговременным nonce, о которой CoinDesk подробно писал ранее на этой неделе. Эти предписанные транзакции оставались бездействующими более недели, прежде чем были выполнены 1 апреля, выведя $270 млн из вейлтв протокола менее чем за минуту.

Атрибуция указывает на UNC4736 — группу, связанную с северокорейским государством, также отслеживаемую как AppleJeus или Citrine Sleet, — на основании как потоков средств on-chain, прослеживаемых до атакующих Radiant Capital, так и операционного совпадения с известными персонами, связанными с DPRK.

Однако люди, которые появлялись лично на конференциях, не были гражданами Северной Кореи. Акторы угроз уровня DPRK, как известно, используют третьих посредников с полностью выстроенными личностями, историями занятости и профессиональными сетями, созданными так, чтобы выдерживать due diligence.

Drift призвал другие протоколы провести аудит механизмов контроля доступа и относиться к каждому устройству, имеющему дело с мультиподписью, как к потенциальной цели. Более широкий вывод неприятен для отрасли, которая опирается на мультиподписи как на свою основную модель безопасности.

Но если атакующие готовы потратить шесть месяцев и миллион долларов, чтобы создать легитимное присутствие внутри экосистемы, встретиться с командами лично, внести реальные средства и подождать — то возникает вопрос: какая модель безопасности предназначена для того, чтобы такое поймать.