Злом Drift Protocol на суму 285 мільйонів доларів готувався шість місяців, звинувачують північнокорейську групу

1 квітня 2026 року експлуатувати of СоланаПротокол Drift Protocol, який вивів з платформи приблизно 285 мільйонів доларів, не був спонтанною атакою. Згідно з попередніми даними Drift дослідження, це був результат структурованої розвідувальної операції, що розпочалася щонайменше шість місяців тому, і яку із середньою або високою впевненістю приписують UNC4736, пов'язаній з північнокорейською державою групі загроз, яку також відстежують як AppleJeus або Citrine Sleet.

Як насправді почався злом протоколу Drift?

За словами команди Drift Protocol, операція розпочалася на великій криптоконференції восени 2025 року, де особи, що представляли фірму з кількісної торгівлі, звернулися до учасників Drift. Те, що відбулося далі, не було швидкою спробою фішингу. Це була цілеспрямована, багатомісячна кампанія з побудови відносин, що проводилася під час численних особистих зустрічей, на численних галузевих конференціях у різних країнах.

Група вільно володіла технічними знаннями, мала перевірений професійний досвід та продемонструвала детальне знайомство з тим, як працює Drift. Після першої зустрічі було створено групу в Telegram, і предметні обговорення торгових стратегій та інтеграції сховищ тривали протягом місяців. Команда Drift зазначила, що ця взаємодія повністю відповідала тому, як легітимні торгові фірми зазвичай взаємодіють з протоколом.

З грудня 2025 року по січень 2026 року група зареєструвала Екосистемне сховище на Drift. Цей процес включав подання деталей стратегії через офіційну форму вступу, участь у кількох робочих сесіях з учасниками Drift та внесення понад 1 мільйон доларів власного капіталу. Вони цілеспрямовано та терпляче створили функціонуючу операційну присутність у протоколі.

Останні місяці перед експлойтом

Переговори щодо інтеграції тривали протягом лютого та березня 2026 року. Учасники Drift знову особисто зустрічалися з представниками групи на великих галузевих заходах. На момент настання квітня їхнім стосункам було майже шість місяців. Це були не незнайомці. Це були люди, з якими команда Drift працювала пліч-о-пліч і з якими неодноразово зустрічалася віч-на-віч.

Протягом цього періоду група ділилась посиланнями на проекти, інструменти та програми, які, за їхніми словами, вони розробляли. Обмін такими ресурсами є стандартною практикою у торговельних відносинах між фірмами, що саме й зробило його ефективним механізмом доставки.

Які були вектори технічної атаки?

Після експлойту 1 квітня Drift провів судово-медичну перевірку уражених пристроїв, облікових записів та історії спілкування. Чати Telegram та шкідливе програмне забезпечення, що використовувалися групою, були повністю видалені в момент атаки. Розслідування Drift виявило три ймовірні вектори вторгнення:

• Можливо, один із учасників був скомпрометований після клонування репозиторію коду, яким спільно користувалася група, представленого як інструмент розгортання фронтенду для їхнього сховища.
• Другому учаснику вдалося завантажити застосунок TestFlight, який група описала як свій продукт-гаманець. TestFlight — це платформа Apple для розповсюдження бета-версій застосунків для iOS перед їх публічним випуском.
• Для вектора на основі репозиторію ймовірним механізмом була відома вразливість у редакторах коду VSCode та Cursor, на яку дослідники безпеки активно звертали увагу з грудня 2025 року по лютий 2026 року. Відкриття файлу, папки або репозиторію в ураженому редакторі було достатнім для непомітного виконання довільного коду, без жодних підказок, попереджень, діалогового вікна дозволів чи будь-яких видимих ​​​​індикаторів для користувача.

На момент публікації повний судово-медичний аналіз ураженого обладнання все ще тривав.

Як швидко було здійснено атаку?

Налаштування, можливо, зайняло шість місяців, але виконання було швидким. Після того, як адміністративний контроль над протоколом був захоплений, реальні кошти користувачів були виведені менш ніж за 12 хвилин. Загальна вартість заблокованого Drift (TVL) впала приблизно з 550 мільйонів доларів до менш ніж 300 мільйонів доларів менш ніж за годину. Токен DRIFT впав більш ніж на 40% під час інциденту. Безпекова фірма PeckShield підтвердила, що загальні втрати перевищили 285 мільйонів доларів, що становить понад 50% TVL протоколу на той час.

Команда Дріфта опублікувала на X пост під час хаосу, щоб прояснити, чи була ситуація справжньою, написавши: «Це не першоквітневий жарт. Будьте обережні до подальшого повідомлення». Усі депозити та зняття коштів були призупинені на початку розслідування.

Відкрийте для себе перспективні проекти...

Перспективні проекти...

(Реклама)

Стаття продовжується...

Куди поділися 285 мільйонів доларів?

Зловмисник швидко приховав слід коштів після експлойту. Викрадені активи були конвертовані в USDC та SOL, а потім переведені з Solana в Ethereum за допомогою протоколу міжланцюгового переказу (CCTP) від Circle. CCTP – це власна інфраструктура мостів Circle, яка дозволяє USDC переміщуватися між різними блокчейнами без перенесення коштів. На Ethereum кошти були конвертовані в ETH. Відстеження в блокчейні підтвердило, що зловмисник зрештою накопичив 129 066 ETH, що на той час вартістю було приблизно 273 мільйони доларів.

Зловмисник також розмістив SOL як на HyperLiquid, так і на Binance, розподіливши активність між кількома платформами, що ускладнило відстеження.

Чи достатньо швидко відреагувало Коло?

Розслідувач блокчейну ZachXBT публічно розкритикував Circle після експлойту, вказуючи на те, що великі суми викрадених USDC були переведені з Solana в Ethereum протягом робочих годин у США без заморожування. ZachXBT порівняв це з нещодавнім рішенням Circle заморозити 16 непов'язаних корпоративних гарячих гаманців у закритій цивільній справі в США, стверджуючи, що Circle мала як технічні можливості, так і чіткий прецедент для втручання, але не змогла відреагувати достатньо швидко, щоб обмежити шкоду.

Хто стоїть за нападом?

З середньо-високою достовірністю та на основі розслідувань, проведених командою SEALS 911, розслідування Drift приписує операцію тим самим кіберзлочинцям, відповідальним за злом системи Radiant Capital у жовтні 2024 року. Mandiant офіційно приписала цю атаку UNC4736, пов'язаній з північнокорейською державою групі.

Основою цього зв'язку є як внутрішньоблокчейновий, так і операційний зв'язок. Потоки коштів, що використовуються для організації та тестування операції Drift, простежуються до гаманців, пов'язаних з атакуючими Radiant. Крім того, персонажі, задіяні під час кампанії Drift, мають ідентифіковані збіги з відомими моделями діяльності, пов'язаними з КНДР.

Одне важливе уточнення від команди Дріфта: особи, які особисто з'являлися на конференціях, не були громадянами Північної Кореї. Відомо, що на цьому рівні операцій пов'язані з КНДР кіберзлочинці використовують сторонніх посередників для налагодження особистих відносин, тримаючи фактичних оперативників на відстані.

Компанію Mandiant офіційно залучили до розслідування, але вона ще не опублікувала офіційного підтвердження атрибуції експлойту Drift. Для цього необхідно завершити експертизу пристроїв, яка все ще триває.

Поточні заходи реагування

Станом на публікацію, Drift зробив такі кроки:

• Усі решту протокольних функцій заморожено.
• Скомпрометовані гаманці видалено з мультипідпису
• Гаманці зловмисників були позначені на біржах та операторах мостів.
• Mandiant було залучено як основний партнер з судово-медичної експертизи

Drift заявив, що публічно ділиться цими деталями, щоб інші команди в екосистемі могли зрозуміти, як насправді виглядає цей тип атаки, і вжити відповідних заходів для захисту.

Висновок

Злом Drift Protocol — це не історія про вразливість коду, яка прослизнула під час аудиту. Це історія про постійний людський обман. Зловмисники витратили шість місяців на формування довіри за допомогою особистих зустрічей, робочої інтеграції сховища та понад 1 мільйон доларів власного депозитного капіталу, перш ніж здійснити 12-хвилинне виведення 285 мільйонів доларів.

 Технічні вектори, сховище шкідливого коду та підроблений додаток TestFlight, були ефективними саме тому, що довіра, необхідна для їх відкриття, вже була ретельно сформована. 

Для DeFi-протоколів урок очевидний: поверхня атаки не обмежується смарт-контрактами. Вона включає кожен пристрій-учасник, кожен сторонній репозиторій і кожен зв'язок, побудований на галузевій конференції. UNC4736 вже двічі продемонстрував це, спочатку на Radiant Capital у жовтні 2024 року, а потім на Drift у квітні 2026 року, щоразу з тим самим терплячим, ресурсно підкріпленим підходом.

Ресурси

1. Протокол дрейфу на XОпубліковано 5 березня

2. PeckShield на XДописи (1-2 квітня)

3. Lookonchain на XДописи (1-2 квітня)