Хакерската атака на Drift Protocol за 285 милиона долара е била разработвана шест месеца, обвинява севернокорейска група

1 април 2026 г. използват of СоланаБазираният на Drift Protocol, който източи приблизително 285 милиона долара от платформата, не е бил спонтанна атака. Според предварителните данни на Drift разследване, това беше резултат от структурирана разузнавателна операция, започнала поне шест месеца по-рано, приписвана със средно-висока степен на доверие на UNC4736, свързана със севернокорейската държава хакерска група, проследявана също като AppleJeus или Citrine Sleet.

Как всъщност започна хакването на Drift Protocol?

Според екипа на Drift Protocol, операцията е започнала на голяма крипто конференция през есента на 2025 г., където лица, представящи се като фирма за количествена търговия, са се обърнали към участници в Drift. Последвалото не е било бърз опит за фишинг. Това е била целенасочена, продължила месеци кампания за изграждане на взаимоотношения, проведена чрез множество лични срещи, на множество индустриални конференции, в множество страни.

Групата владееше технически добре, притежаваше проверим професионален опит и демонстрираше подробно познаване на начина, по който функционира Drift. След първата среща беше създадена група в Telegram и съществените дискусии относно търговските стратегии и интеграциите с трезори продължиха в продължение на месеци. Екипът на Drift отбеляза, че тези взаимодействия са били напълно съвместими с начина, по който легитимните търговски фирми обикновено взаимодействат с протокола.

От декември 2025 г. до януари 2026 г. групата се присъедини към екосистемен трезор на Drift. Този процес включваше подаване на подробности за стратегията чрез официален формуляр за прием, участие в множество работни сесии с участници в Drift и депозиране на над 1 милион долара собствен капитал. Те изградиха функциониращо оперативно присъствие в рамките на протокола, целенасочено и търпеливо.

Последните месеци преди експлойта

Разговорите за интеграция продължиха през февруари и март 2026 г. Участниците в Drift се срещнаха отново с хора от групата, лично, на големи събития в индустрията. Към април връзката им беше почти на шест месеца. Това не бяха непознати. Те бяха хора, с които екипът на Drift беше работил заедно и с които се е срещал лице в лице многократно.

През целия този период групата споделяше връзки към проекти, инструменти и приложения, които твърдеше, че разработва. Споделянето на подобни ресурси е стандартна практика в търговските взаимоотношения между фирмите, което именно го прави ефективен механизъм за доставка.

Какви бяха векторите на техническата атака?

След експлойта от 1 април, Drift проведе криминалистичен преглед на засегнатите устройства, акаунти и история на комуникация. Чатовете в Telegram и злонамереният софтуер, използвани от групата, бяха напълно премахнати в момента на атаката. Разследването на Drift идентифицира три вероятни вектора на проникване:

• Възможно е един от участниците да е бил компрометиран след клониране на хранилище с код, споделено от групата, представено като инструмент за внедряване на frontend за техния трезор.
• Втори участник беше подтикнат да изтегли приложение TestFlight, което групата описа като свой портфейл. TestFlight е платформата на Apple за разпространение на бета версии на iOS приложения, преди да бъдат пуснати публично.
• За вектора, базиран на хранилища, вероятният механизъм е била известна уязвимост в редакторите на код VSCode и Cursor, за която изследователите по сигурност активно са сигнализирали между декември 2025 г. и февруари 2026 г. Отварянето на файл, папка или хранилище в засегнатия редактор е било достатъчно за тихо изпълнение на произволен код, без подкана, предупреждение, диалогов прозорец за разрешения или каквато и да е видима индикация за потребителя.

Към момента на публикуването все още се провеждаше пълен криминалистичен анализ на засегнатия хардуер.

Колко бързо беше изпълнена атаката?

Настройката може да е отнела шест месеца, но изпълнението беше бързо. След като администраторският контрол върху протокола беше иззет, реалните потребителски средства бяха източени за по-малко от 12 минути. Общата заключена стойност (TVL) на Drift спадна от приблизително 550 милиона долара до под 300 милиона долара за по-малко от час. Токенът DRIFT падна с повече от 40% по време на инцидента. Фирмата за сигурност PeckShield потвърди, че общата загуба надхвърля 285 милиона долара, което представлява повече от 50% от TVL на протокола по това време.

Екипът на Дрифт публикува в X по време на хаоса, за да изясни дали ситуацията е истинска, като написа: „Това не е първоаприлска шега. Бъдете внимателни до второ нареждане.“ Всички депозити и тегления бяха спрени с началото на разследването.

Открийте обещаващи проекти...

Перспективни проекти...

(Реклама)

Статията продължава...

Къде отидоха 285-те милиона долара?

След експлойта, нападателят предприе бързи действия, за да прикрие следите от средствата. Откраднатите активи бяха конвертирани в USDC и SOL, след което прехвърлени от Solana към Ethereum, използвайки протокола за междуверижно прехвърляне (CCTP) на Circle. CCTP е вградената мостова инфраструктура на Circle, която позволява на USDC да се движи между различни блокчейни без обвиване. В Ethereum средствата бяха конвертирани в ETH. Проследяването във веригата потвърди, че нападателят в крайна сметка е натрупал 129 066 ETH, на стойност приблизително 273 милиона долара по това време.

Атакуващият е депозирал SOL както в HyperLiquid, така и в Binance, разпространявайки активността си между множество платформи, за да усложни проследяването.

Circle отговори ли достатъчно бързо?

Разследващият веригата ZachXBT публично разкритикува Circle след експлойта, посочвайки, че големи количества откраднати USDC са били прехвърлени от Solana към Ethereum по време на работно време в САЩ, без да бъдат замразени. ZachXBT противопостави това на неотдавнашното решение на Circle да замрази 16 несвързани корпоративни горещи портфейла в запечатано гражданско дело в САЩ, твърдейки, че Circle е имал както техническа възможност, така и ясен прецедент да се намеси, но не е действал достатъчно бързо, за да ограничи щетите.

Кой стои зад атаката?

Със средно-висока степен на увереност и подкрепено от разследвания, проведени от екипа на SEALS 911, разследването на Drift приписва операцията на същите злонамерени лица, отговорни за хакерската атака срещу Radiant Capital от октомври 2024 г. Mandiant официално приписва тази атака на UNC4736, свързана със Северна Корея държавна група.

Основата за тази връзка е както на веригата, така и оперативна. Финансовите потоци, използвани за организиране и тестване на операция Drift, се проследяват до портфейли, свързани с нападателите от Radiant. Освен това, персоните, използвани по време на кампанията Drift, имат идентифицируеми припокривания с известни модели на активност, свързани с КНДР.

Едно важно уточнение от екипа на Дрифт: лицата, които са се явявали лично на конференции, не са били севернокорейски граждани. На това ниво на операции е известно, че свързаните с КНДР хакери използват посредници от трети страни, за да изграждат лични взаимоотношения, държейки действителните оперативни лица на разстояние.

Mandiant е официално ангажирана с разследването, но все още не е издала официално потвърждение за експлойта Drift. Това решение изисква завършване на криминалистични анализи на устройството, които все още продължават.

Текущи мерки за реагиране

Към момента на публикуването, Drift е предприел следните стъпки:

• Всички останали протоколни функции са замразени
• Компрометираните портфейли са премахнати от мултисигнатурата.
• Портфейлите на атакуващите са маркирани в борси и оператори на мостове
• Mandiant е ангажиран като основен съдебномедицински партньор

Drift заяви, че споделя тези подробности публично, за да могат други екипи в екосистемата да разберат как всъщност изглежда този тип атака и да предприемат стъпки за защита по съответния начин.

Заключение

Хакването на Drift Protocol не е история за уязвимост в код, която е пропуснала одит. Това е история за продължителна човешка измама. Нападателите са прекарали шест месеца в изграждане на доверие чрез лични срещи, работеща интеграция с трезор и над 1 милион долара от собствения си депозиран капитал, преди да извършат 12-минутно източване на 285 милиона долара.

 Техническите вектори, хранилище за зловреден код и фалшиво приложение TestFlight, бяха ефективни именно защото доверието, необходимо за отварянето им, вече беше внимателно изградено. 

За DeFi протоколите урокът е директен: повърхността за атака не се ограничава само до интелигентни договори. Тя включва всяко устройство за сътрудници, всяко хранилище на трета страна и всяка връзка, изградена на индустриална конференция. UNC4736 вече демонстрира това два пъти, първо на Radiant Capital през октомври 2024 г. и отново на Drift през април 2026 г., всеки път със същия търпелив, подкрепен с ресурси подход.

Ресурси

1. Протокол за дрейф на XПубликувано на 5 март

2. PeckShield на XПубликации (1-2 април)

3. Lookonchain на XПубликации (1-2 април)