Cryptonews

Взлом протокола Drift: как северокорейская группа потратила шесть месяцев на проникновение в протокол DeFi

Источник
cryptonewstrend.com
Опубликовано
Взлом протокола Drift: как северокорейская группа потратила шесть месяцев на проникновение в протокол DeFi

1 апреля 2026 года протокол Drift Protocol подвергся серьезной атаке, вызвавшей полную остановку протокола. Впоследствии инцидент был раскрыт как структурированная многомесячная разведывательная операция. Партнеры-криминалисты, в том числе Mandiant, помогают правоохранительным органам в расследовании нарушения. Предварительные данные указывают на то, что вероятными виновниками террористической группировки является связанная с государством Северная Корея. На сегодняшний день это одна из самых целенаправленных кампаний социальной инженерии, задокументированных в сфере децентрализованных финансов. Атака на Drift Protocol началась не в тот день, когда она произошла. Это восходит к осени 2025 года, когда к участникам обратились на крупной конференции по криптовалюте. Группа представила себя как количественную торговую фирму, стремящуюся к интеграции протоколов. Они свободно владели техническими знаниями и имели поддающийся проверке профессиональный опыт. В течение следующих месяцев люди из этой группы продолжали лично встречаться с участниками Drift. Эти встречи произошли на нескольких отраслевых конференциях в нескольких странах. Группа в Telegram была создана с самой первой встречи. За этим последовали месяцы подробных разговоров о торговых стратегиях и интеграции хранилищ. С декабря 2025 года по январь 2026 года группа подключилась к экосистемному хранилищу по протоколу. Они вложили более 1 миллиона долларов собственного капитала и приняли участие в нескольких рабочих сессиях. К февралю и марту 2026 года в протоколе отмечалось, что «это были не незнакомцы; это были люди, с которыми участники Drift работали и встречались лично». В течение этого периода регулярно обменивались ссылками на проекты, инструменты и приложения. Позже расследование показало, что «профили, использованные в этой операции, полностью идентифицировали личность, включая историю трудоустройства, публичные полномочия и профессиональные связи». Участники сотрудничали с ними в рамках детальных обсуждений продукта. Это со временем обеспечило надежное оперативное присутствие в экосистеме Drift. После эксплойта 1 апреля судебно-медицинская экспертиза затронутых устройств и коммуникаций выявила торговую группу как вероятный вектор вторжения. Их чаты в Telegram и вредоносное ПО были полностью уничтожены сразу после атаки. В ходе продолжающегося расследования выявились три потенциальных вектора атак. Один участник мог клонировать репозиторий кода, общий для группы. Это было представлено как интерфейсное развертывание для их хранилища. Другому участнику было предложено загрузить приложение TestFlight, оформленное как продукт кошелька группы. Что касается вектора на основе репозитория, «простого открытия файла, папки или репозитория в редакторе было достаточно для бесшумного выполнения произвольного кода, без каких-либо подсказок или указаний пользователю, кликов, диалогового окна разрешений или любого рода предупреждений». Полный судебно-медицинский анализ пострадавшего оборудования продолжается. С тех пор Дрифт призвал более широкую экосистему «проверять ваши команды, проверять, кто к чему имеет доступ, и рассматривать каждое устройство, которое касается вашей мультиподписи, как потенциальную цель». Со средней и высокой степенью достоверности команда SEALS 911 оценила это как работу UNC4736. Эта группа представляет собой актера, связанного с государством Северной Кореи и известного как AppleJeus или Citrine Sleet. Внутрисетевые потоки средств и перекрывающиеся личности связывают эту кампанию со взломом Radiant Capital в октябре 2024 года. Лично появившиеся лица не были гражданами Северной Кореи, поскольку известно, что субъекты угроз из КНДР используют сторонних посредников для прямого контакта.