Як національні хакери проникають у DeFi? Глибоке розслідування інциденту з хакінгом Drift

Загострений центр уваги атак у крипто-безпекових інцидентах стрімко зміщується з рівня коду до рівня людської довіри.

1 квітня 2026 року в екосистемі Solana на хак зазнав провідний децентралізований протокол деривативів Drift Protocol. Збитки склали приблизно 285 млн доларів. Загальний обсяг коштів у блокуванні платформи (TVL) впав із близько 550 млн доларів до інциденту до приблизно 230 млн доларів. Після цього Drift опублікував попередні результати розслідування, які підтвердили, що за цією дією стоїть хакерська група UNC4736, пов’язана з урядом КНДР. Це була «структурована операція збору розвідданих тривалістю 6 місяців».

Зроблений цим висновком зрушення виходять далеко за межі одного інциденту безпеки: коли державні хакери переносять центр атак із пошуку вразливостей у коді на багатомісячне проникнення через міжособистісну довіру, весь безпековий парадигм DeFi галузі переписується системно. Атакам більше не потрібні складні вразливості смартконтрактів або викрадення приватних ключів — їм достатньо терплячих стосунків, ретельно замаскованої ідентичності та достатньої кількості часу.

Який механізм роботи цієї атаки?

План дій UNC4736 демонструє дисципліну в організації та вклад ресурсів, значно вищі за рівень звичайних хакерських угруповань. Починаючи з осені 2025 року, люди, які видавали себе за компанії з кількісної торгівлі, активно виходили на контакт із внескодавцями Drift на кількох міжнародних криптоконференціях. Ці люди вільно володіли технічною лексикою, мали перевірювані професійні передумови та розбиралися в тому, як працює Drift. Важливо, що під час очних контактів йшлося не про громадян КНДР, а про третіх посередників, яких, як вважається, розгортає KНДР як загрозливий суб’єкт.

Після вибудови довіри ця група влаштувалася в екосистемному «екосистемному сейфі/скарбниці» в середовищі Drift у період із грудня 2025 до січня 2026 року та фактично внесла понад 1 млн доларів власних коштів, щоб сформувати довіру. Під час цього вони провели детальні та професійні дискусії щодо продуктових питань із кількома внескодавцями.

Технічне проникнення реалізувалося двома шляхами: одного внескодавця було скомпрометовано під час клонування репозиторію з шкідливим кодом. У цьому репозиторії використовувалися вразливості, які безпекова спільнота постійно попереджала у середовищах VSCode та Cursor — достатньо було просто відкрити файл, папку або репозиторій у редакторі, щоб тихо виконати довільний код без будь-яких підказок або кліків користувача; іншого внескодавця заманили завантажити підроблений застосунок-гаманця через платформу Apple TestFlight. Після отримання внутрішніх привілеїв атакувальники використали нативну для Solana функцію Durable Nonce, щоб заздалегідь підписати транзакції, і після проходження багатопідписного (multisig) погодження миттєво виконали дію з очищення.

Яку ціну тягне за собою така парадигма атаки?

Ціна інциденту Drift багатовимірна й виходить далеко за межі суто бухгалтерських втрат у 285 млн доларів.

Найпряміша ціна проявляється у втраті коштів та ринковому ударі. Ця атака стала найбільшим безпековим інцидентом DeFi станом на 2026 рік і другим за масштабом безпековим інцидентом в історії екосистеми Solana. Після події ціна токена DRIFT у якийсь момент впала більш ніж на 90% від історичного максимуму.

Небезпечнішим є ефект поширення атаки. Протоколи, що постраждали від події з вразливістю Drift, розширилися з початкових 11 до понад 20. Додалися, зокрема, PiggyBank, Perena, Vectis, Prime Numbers Fi та інші протоколи; у частини протоколів було призупинено функції карбування (minting), викупу (redeem) або внесення/виведення коштів. Після зупинки роботи децентралізованого протоколу позик Project 0 запустив процес деважеля (deleveraging), а активи позикодавців у середньому знецінилися на 2,61%.

Найглибша і водночас найскладніша для кількісної оцінки ціна — це хитання основ безпекової довіри в DeFi-галузі. Після інциденту Drift підкреслив, що всі учасники multisig використовували холодні гаманці, але це все одно не змогло зупинити атаку. Це вказує на те, що коли атака фіксується на людському рівні, навіть суворий контроль через апаратні засоби може бути обійдений. Якщо атакувальники діють пів року як справжня організація, вкладають кошти, беруть участь в екосистемі, то існуючі системи безпеки майже не здатні виявити їх.

Що це означає для розстановки сил у DeFi-галузі?

Інцидент Drift змушує всю індустрію заново оцінити фундаментальне питання: чи досі вірні безпекові припущення децентралізованих фінансів.

Одне з ключових відлунь галузевого осмислення зосереджується на структурних вразливостях довірчої системи третіх посередників. Маршрут атаки UNC4736 показав, що нинішня DeFi-екосистема не має механізмів систематичного безпекового аудиту для нових партнерів і постійного моніторингу. Ті дії, які в межах індустрії вважаються нормальними проявами комерційної активності — контакти на конференціях, обмін повідомленнями в чатах, влаштування в екосистемній скарбниці — якраз і стають найкращими маскуваннями для проникнення державного рівня.

Ще один спірний момент, який не можна ігнорувати, походить із сегмента повернення коштів та виявляє «тріснувшу» відповідність (комплаєнс). Ончейн-розслідувачі зазначили, що атакувальники через протоколи кросчейн-переказів перевели близько 232 млн доларів USDC із Solana до Ethereum, тоді як емітент стабільних монет мав вікно приблизно 6 годин, щоб заморозити ці кошти, але не зробив жодних дій. Це питання торкається глибшої інституційної проблеми: якщо безпекова оборона самого DeFi-протоколу виходить з ладу, покладатися на комплаєнс-реакцію централізованих емітентів стабільних монет, щоб «підмінити» її, — чи є така змішана модель життєздатною? І де проходять межі дій комплаєнс-структур, коли відбувається масовий рух коштів?

Як це може еволюціонувати в майбутньому?

З огляду на поточний прогрес розслідування та реакції галузі, уже помітні кілька тенденцій.

Безпекові бюджети буде системно переглянуто. У 2025 році глобальні збитки від криптобезпеки перевищили 3,4 млрд доларів; у Web3-сфері за 2025 рік було зафіксовано 89 підтверджених інцидентів безпеки із загальними втратами 2,54 млрд доларів. На тлі дедалі більшої «нормалізації» атак державного рівня стратегії, що покладаються лише на аудит коду та тести безпеки, вже не будуть достатніми. Очікується, що більше протоколів інвестуватимуть додаткові ресурси в навчання з безпеки для операцій, навчальні сценарії протидії соціальній інженерії та процеси перевірки бекграунду.

Поширення ризиків між протоколами стане новим виміром безпекової уваги. Ефект ланцюга Drift, який торкнувся понад 20 протоколів, показує: комбінованість DeFi в безпековому аспекті — це двосічний меч. У майбутньому можуть з’явитися два типи відповідей: по-перше, ізоляція залежностей і безпекова сегментація на рівні протоколів; по-друге, створення на галузевому рівні уніфікованих механізмів реагування на інциденти та обміну інформацією.

Кордони регулювання та комплаєнсу ще більше «перетягуватимуть канат». Стандарти дій емітентів стабільних монет у подібних випадках стануть фокусом дискусій регуляторів і можуть сприяти появі рамкових механізмів екстреного реагування на переміщення кроскордонних криптоактивів.

Які потенційні ризики все ще перебувають у зоні попередження?

Хоча Drift заморозив усі функції всіх протоколів і перемістив постраждалі гаманці з multisig, усе ще є кілька вимірів ризиків, за якими варто постійно стежити.

Необоротність повернення коштів. Після здійснення крадіжки атакувальники швидко очистили записи в чатах і шкідливе ПЗ, а кошти в ончейні вже були переказані через кросчейн-мости в мережу Ethereum. Хакерські угруповання КНДР традиційно мають розвинені мережі відмивання грошей і можливості кросчейн-мішування; більшість вкрадених коштів могла вже перейти в канали, з яких їх складно повернути.

Асиметрична конкуренція в можливостях безпеки галузі. Державні хакерські організації мають організаційні ресурси, постійне фінансування та спеціалізований поділ праці, тоді як більшість DeFi-протоколів працюють невеликими командами, і безпекові ресурси там обмежені. Саме цю асиметрію атакувальники систематично використовують. Ідентичності, які застосовують ці атакувальники, вже побудували повні професійні послужні списки, публічні посвідчення особи та професійні соціальні зв’язки, здатні витримувати звичайні перевірки в бізнес-співпраці.

Втома від довіри, яка стримує інновації в галузі. Якщо кожне нове залучення партнера вимагає суворого безпекового аудиту та безперервного моніторингу, то ключова перевага DeFi — відкритість і комбінованість — наражається на ризик ерозії. Як знайти баланс між безпековим захистом і операційною ефективністю — це складне питання, на яке галузь має відповісти.

Підсумок

Інцидент із зломом Drift розкрив реальність, яку тривалий час ігнорували: безпекові загрози для DeFi-галузі здійснили зміну поколінь. Від вразливостей смартконтрактів і викрадення приватних ключів до теперішнього 6-місячного соціального інжинірингу на рівні держави — темп еволюції тактик атакувальників значно випереджає темп ітерацій оборонних систем. Коли атакувальникам більше не потрібно ламати код, а потрібно лише зламати довіру однієї людини, ефективність традиційних інструментів безпеки — multisig, холодні гаманці, апаратна ізоляція — ставиться під сумнів.

Галузі потрібні не лише досконаліші аудити коду та жорсткіший контроль доступу, а й абсолютно нове мислення в безпеці: розглядати «людську довіру» як рівнозначну до «коду смартконтрактів» точку атаки. Від перевірки бекграунду до культури операційної безпеки, від безперервного моніторингу партнерів екосистеми до кроспротокольної координації механізмів реагування на надзвичайні ситуації — кожен етап має бути переосмислений і визначений заново. За нового нормального стану, коли до гри входять державні сили, не існує протоколу, який міг би залишатися осторонь — уся ланка безпекової оборони галузі може бути не сильнішою, ніж найслабкіша ланка.

FAQ

Питання: UNC4736 чи є тим самим органом, що й Lazarus?

UNC4736 — це кодова назва, яку безпекові компанії використовують для відстеження загрозливих акторів, пов’язаних із урядом КНДР, і вона перетинається з більш відомою Lazarus Group, але не є повністю тотожною. Вважається, що UNC4736 в криптовалютній сфері виконує більш сталу «базову» задачу з отримання стабільного доходу, з фокусом на тривале проникнення в цілі малого та середнього масштабу.

Питання: Чому Drift, використовуючи multisig, все ще не зміг зупинити атаку?

Атакувальники не викрали напряму приватні ключі multisig. Натомість вони отримали права на multisig-погодження через соціальну інженерію, а після цього використали функцію Solana Durable Nonce, щоб заздалегідь підписати транзакції. Після отримання достатніх повноважень вони виконали «очищення» миттєво. Це показує, що безпекова передумова multisig полягає в тому, що підписанти не піддаються маніпуляціям через соціальну інженерію.

Питання: Чи ця атака включала вразливості смартконтрактів?

Ні. Офіційно підтверджено, що ядром цієї атаки були проникнення через соціальну інженерію та зловживання функцією Durable Nonce, а не традиційні вразливості коду смартконтрактів.

Питання: Які заходи Drift вжив після інциденту?

Drift заморозив усі функції протоколів, перемістив постраждалі гаманці з багатопідписання (multi-signature) та запросив безпекові компанії для глибокого збору доказів і розслідування. Команда протоколу заявила, що співпрацює з правоохоронними органами й намагається відстежити вкрадені кошти.