#DriftProtocolHacked DriftProtocolHacked: Полный разбор взлома DeFi, связанного с Северной Кореей

Краткая версия: 1 апреля 2026 года #DriftProtocolHacked да, настоящая атака, не шутка$285M , крупнейшая в истории Solana перпетуальная биржа Drift Protocol потеряла около (миллиона) долларов в том, что сейчас называют самой сложной социальной инженерией в истории DeFi. Злоумышленники полгода выстраивали доверие, встречались с командой лично, вносили более $285 миллионов$1 своих средств и, наконец, взломали подписи на машинах, чтобы вывести средства всего за 12 минут.

---

1. Таймлайн: как это произошло

Исполнение атаки (1 апреля 2026)

· Общий украденный объем: около $285 миллионов( долларов из нескольких пулов: JLP )~$155,6М(, USDC, SOL, cbBTC, wBTC, WETH и мемкоины
· Метод: злоумышленники активировали заранее подписанные транзакции с "устойчивым nonce", указали фальшивые CVT токены как допустимое обеспечение, повысили лимиты на вывод до максимума и все вывели
· Скорость: 31 транзакция вывода за ~12 минут
· Немедленный обмен: украденные активы обменяны на ~129 000 ETH )~$278М( через Jupiter, переведены в Ethereum

Мгновенная реакция

· Вклады/выводы немедленно заблокированы
· Drift подтвердил: "Это не шутка 1 апреля"
· Все функции протокола приостановлены; взломанные кошельки удалены из мультисига

---

2. Шестимесячная разведка: структурированная операция разведки

Это был не баг или случайный взлом. Это полномасштабная шпионская операция.

Фаза 1: Первый контакт )осень 2025(

Лица, выдававшие себя за команду квантовой торговли, подошли к участникам Drift на крупной криптоконференции. Они были технически подкованы, заслуживали доверия и сразу создали группу в Telegram.

Фаза 2: Построение доверия )декабрь 2025 - январь 2026$1

· Создали легитимный "Ecosystem Vault" на Drift
· Внесли более (миллионов) своих средств для повышения доверия
· Провели несколько рабочих сессий по стратегиям торговли и интеграциям
· Встретились лично с участниками Drift на конференциях в разных странах

Фаза 3: Технический компрометаж (февраль - март 2026)

Обнаружены два возможных вектора атаки:

Вектор Метод
Вредоносный репозиторий Злоумышленник разместил код в репозитории, выдавая его за фронтенд для vault. Уязвимость VSCode/Cursor (отмечена в декабре 2025 - феврале 2026) позволила скрытую произвольную команду при открытии папки — без кликов, без предупреждений
TestFlight App Участник убедил установить бета-версию "кошелька" через Apple TestFlight (которая обходит проверку App Store)

После взлома машин злоумышленники получили одобрения мультисига через искажение транзакций.

Фаза 4: Ловушка установлена (27 марта 2026)

Drift перевел свой Совет Безопасности на мультисиг 2 из 5 с нулевой задержкой — то есть административные действия могли выполняться мгновенно. Предварительно подписанные транзакции уже были готовы.

Фаза 5: Исполнение (1 апреля 2026)

· Злоумышленники активировали неактивные транзакции
· Чаты в Telegram и вредоносное ПО полностью удалены в момент начала атаки
· Средства выведены за 12 минут

---

3. Атрибуция: группа UNC4736 (Лазаревская группа) Северной Кореи

С умеренной высокой уверенностью Drift и команда SEAL 911 связывают это с UNC4736 $50M aka AppleJeus, Citrine Sleet, Gleaming Pisces( — той же группой, что стояла за взломом Radiant Capital в октябре 2024 )hack(

Доказательства, связывающие DPRK:

· Анализ цепочки: потоки средств, использованные для организации операции Drift, прослеживаются до атакующих Radiant Capital
· Операционные паттерны: тот же подход, ориентированный на человека, использованный в взломе моста Ronin 2022 )$625М$285
· Происхождение Tornado Cash: атака началась с вывода ETH из Tornado Cash 11 марта
· Таймстамп Пхеньяна: время развертывания CVT совпадает с ~09:00 по пхеньянскому времени
· Скорость отмывки: мгновенный кросс-чейн обмен на ETH, без заморозки со стороны CEX

Критическая заметка: Люди, с которыми встречались лично, НЕ были гражданами Северной Кореи

"Лица, появившиеся на конференциях лично, не были гражданами КНДР. Акторы угроз, действующие на этом уровне, используют посредников, чтобы выстроить отношения."

Эти посредники полностью создали личности — истории занятости, публичные креденшелы, профессиональные сети — чтобы выдержать проверку контрагента.

---

4. Технический разбор: как работал эксплойт

Атака "Устойчивый Nonce"

Solana имеет функцию, называемую "устойчивыми nonce", которая позволяет заранее подписывать транзакции и выполнять их позже. Злоумышленники:

1. Получили одобрение мультисига на транзакции, казавшиеся рутинными
2. Эти одобрения стали активными ключами, хранящимися в резерве
3. Когда 27 марта был снят таймлок, заранее подписанные транзакции активировались мгновенно

Фальшивый план обеспечения

1. 11 марта: злоумышленник вывел ETH из Tornado Cash
2. 12 марта: развернул токен "CVT" (carbonvote)
3. 3 недели: создал минимальную ликвидность на Raydium, использовал wash-трейдинг для поддержания цены ~$1.00
4. 1 апреля: оракулы Drift приняли CVT за легитимное обеспечение → злоумышленник внес фиктивный CVT → протокол выдал реальные активы против него

---

5. Последствия: кто пострадал

Прямые потери: около (миллионов)

Активы Количество Стоимость (USD)
JLP токены ~41,7М ~$155,6М
USDC Разное ~$80-100М
SOL Разное Значительно
cbBTC/wBTC/WETH Разное Остаток

Затронутые протоколы (заражение)

· Prime Numbers Fi: миллионы потеряны
· Carrot Protocol: функции mint/redeem приостановлены после потери 50% TVL
· Pyra Protocol: выводы полностью отключены
· Piggybank: потерял $106 000 #DriftProtocolHacked возмещено из казны$230

Ответ Jupiter

"Jupiter Lend не участвует в рынках Drift. Активы JLP полностью обеспечены базовыми активами. Это тяжелый день для Solana DeFi."

Токены, не пострадавшие

· Unitas Protocol
· Meteora
· Perena (хотя их нейтральный трейд-управляемый сейф JLP был затронут)

---

6. Спор о стейблкоинах: Circle против Tether

Возникла важная второстепенная история: почему Circle не заморозила украденный USDC?

Цифры

· (миллион в USDC был переведен с Solana на Ethereum через Cross-Chain Transfer Protocol )CCTP(
· Это произошло за шесть часов без вмешательства

Контраст

Реакция протокола
USDT0 )Tether( остановил кросс-чейн коммуникацию на Solana за 90 минут
Circle CCTP — вмешательство не зафиксировано; протокол работал без разрешений

Критика

Аналитик ZachXBT публично раскритиковал бездействие Circle. Обозреватели отрасли отметили, что это демонстрирует фундаментальный компромисс в дизайне: централизованный контроль для экстренного реагирования )USDT0( против децентрализации без разрешений )CCTP(.

Для контекста основатель Curve Finance Михаил Егоров отметил: "Если в деле замешаны хакеры из Северной Кореи, шанс восстановления равен нулю. Они никогда не сотрудничают и не боятся правоохранительных органов."

---

7. Реакция Drift и усилия по восстановлению

Мгновенные меры )1-3 апреля$200

· Все функции протокола заблокированы
· Взломанные кошельки удалены из мультисига
· Адреса злоумышленников занесены в черные списки бирж и мостов
· На блокчейне отправлены сообщения хакерам: "Готовы к диалогу"

Попытка переговоров $10 3 апреля(

Drift отправил сообщения на четыре Ethereum-кошелька с украденными средствами, заявив:

"Обнаружена критическая информация, связанная с эксплоитом. Сообществу Drift будет предоставлена дополнительная информация после завершения расследования."

Единственный ответ? случайный кошелек с )ETH$1 ответил: *"Отправьте мне (миллион, чтобы потрепать команду Drift."*

Форензика

· Вовлечена компания Mandiant для проведения расследования
· Команда SEAL 911 )Taylor Monahan, tanuki42_, pcaversaccio, Nick Bax$300M признаны за выявление участников
· Окончательная атрибуция ожидает завершения судебной экспертизы устройств

Что сказал tanuki42_

"Это самый сложный и целенаправленный взлом, который я видел от DPRK в криптопространстве. Набор посредников и их целевая атака на конкретных людей на крупных криптоконференциях — дикая тактика."

---

8. Почему это меняет всё для DeFi

Жесткая правда

"Если злоумышленники готовы потратить полгода, вложить (миллион) в экосистему, встретиться с командами лично, внести реальные средства и ждать — какую модель безопасности они используют для обнаружения этого?"

Выученные уроки

1. Таймлоки — не опция. Удаление таймлока (как Drift сделал 27 марта) превращает сложную атаку в вывод средств за 12 минут
2. Социальная инженерия > баги кода. Самый сложный аудит кода не остановит человека, который откроет вредоносную папку VSCode или установит приложение TestFlight
3. Важна разница между разрешенной и разрешающей безопасностью. Контраст USDT0 и CCTP показывает реальные компромиссы в дизайне стейблкоинов
4. Северная Корея здесь надолго. Elliptic зафиксировала более 155.6M( долларов украденных в Q1 2026, при этом злоумышленники, связанные с DPRK, ответственны за последние годы за более чем $6,5 млрд

Что дальше для Drift

· Пока не восстановлены средства или не появится крупная гарантия, вероятен путь к ликвидации, банкротству или судебным разбирательствам
· Официальных планов компенсации на 3-5 апреля не объявлено
· Вероятность восстановления при участии DPRK: 0% )по словам Michael Egorov(

---

9. Ключевые кошельки и данные на блокчейне

ETH-кошельки злоумышленников )Post-bridge#DriftProtocolHacked

· 0xAa843eD65C1f061F111B5289169731351c5e57C1
· 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7
· 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674

Общий объем: около 105 969 ETH #DriftProtocolHacked ~$226М

Отправитель сообщений Drift:

· 0x0934faC45f2883dd5906d09aCfFdb5D18aAdC105

---

Заключительный вывод

Это был не взлом. Это была шпионская операция, проведенная в течение шести месяцев государством против DeFi-протокола. Злоумышленники:

· Использовали посредников с фальшивыми, но идеально выстроенными личностями
· Встречались лично на конференциях в нескольких странах
· Вносили более $1М реальных средств для прикрытия
· Использовали доверенные инструменты разработчика VSCode и TestFlight от Apple
· Провели идеально скоординированный, 12-минутный слив средств

Если DeFi хочет выжить, индустрии нужно признать, что социальная инженерия и государственные акторы — это теперь основные угрозы, а не только баги смарт-контрактов.

"Расследование показало, что использованные профили имели полностью выстроенные личности, включая истории занятости, публичные креденшелы и профессиональные сети, которые могли выдержать проверку при деловых отношениях." — Drift Protocol