В Drift Protocol раскрыли детали взлома на $280 млн

Хакеры полгода лично общались с командой проекта

Хакерская атака на Drift Protocol являлась «структурированной операцией по проникновению, потребовавшей организационной поддержки, значительных ресурсов и нескольких месяцев тщательной подготовки».

Согласно заявлению команды проекта, за произошедший 1 апреля инцидент с ущербом около $280 млн несет ответственность группировка из Северной Кореи. На планирование и реализацию атаки они потратили полгода. 

Внедрение 

По словам представителей Drift, осенью 2025 года на одной из тематических конференций к ним обратились люди от лица неназванной торговой компании, выразив желание интегрироваться в протокол.

Как выяснилось, преступники целенаправленно отслеживали участников проекта и входили к ним в доверие.

«Они обладали техническими навыками, имели подтвержденный профессиональный опыт и были знакомы с принципами работы Drift. После первой встречи мы создали группу в Telegram, за этим последовали месяцы содержательных обсуждений торговых стратегий и потенциальной интеграции хранилища», — отметила команда. 

После подставная компания начала подключать собственные хранилища к Drift, для чего потребовалось заполнить форму с подробным описанием стратегии. Кроме того, они вложили более $1 млн собственных средств в экосистему.

Тесное общение между разработчиками и злоумышленниками продолжалось примерно до конца марта. После атаки все общие чаты и контакты удалили.

«Это были не незнакомцы, а люди, с которыми участники проекта работали и встречались лично. На протяжении всего этого процесса распространялись ссылки на проекты, инструменты и приложения», — подчеркнули в Drift. 

Механизмы взлома

Как сообщалось ранее, хакеры получили доступ к депозитарным хранилищем через создание поддельных отложенных подписей. Сейчас команда выделила три вероятных вектора атаки:

1. Один из сотрудников, возможно, стал жертвой взлома после клонирования репозитория кода под видом развертывания интерфейса для хранилища.
2. Другого члена проекта убедили загрузить вредоносное приложение TestFlight, которое представили как электронный кошелек.
3. В репозиториях предположительно присутствовала уязвимость, позволяющая через простое открытие файла, папки или других документов в редакторе незаметно воспроизвести любой код.

В Drift продолжают криминалистический анализ затронутого оборудования. Содействие в расследовании оказывают специалисты SEALS 911 и правоохранительные органы. 

Официальный источник уязвимости пока не выявлен. Работа протокола по-прежнему приостановлена.

Конкретный виновник

Полученные в ходе следствия данные позволили связать атаку с группировкой UNC4736 — северокорейской государственной структурой, также известной как AppleJeus или Citrine Sleet. 

Эти же преступники предположительно стояли за взломом Radiant Capital на более чем $50 млн в октябре 2024 года. Их отследили по ончейн-данным, которые указали на общие денежные потоки, а также по связанным с ними реальным личностям. 

Для внедрения в Drift преступники предоставляли полностью сфабрикованные данные, включая историю трудоустройства, персональную информацию и профессиональные контакты. 

«Важно отметить: встречавшиеся [с представителями Drift] лица не являлись гражданами Северной Кореи. Известно, что северокорейские террористы, действующие на этом уровне, используют посредников для налаживания личных контактов», — отметили в компании. 

Напомним, в марте группировку из КНДР заподозрили в атаке на криптовалютный интернет-магазин Bitrefill. 

Источник: forklog.com