Cryptonews

Ограбление на полмиллиарда долларов разоблачено как затянувшаяся кампания шпионов Пхеньяна

Источник
cryptonewstrend.com
Опубликовано
Ограбление на полмиллиарда долларов разоблачено как затянувшаяся кампания шпионов Пхеньяна

Шестимесячная разведывательная операция предшествовала эксплойту Drift Protocol стоимостью 270 миллионов долларов и была проведена группой, связанной с государством Северной Кореи, согласно подробному отчету об инциденте, опубликованному командой ранее в воскресенье.

Злоумышленники впервые вступили в контакт осенью 2025 года на крупной конференции по криптовалютам, представившись фирмой, занимающейся количественной торговлей и стремящейся интегрироваться с Drift.

По словам Дрифта, они свободно владели техническими знаниями, имели поддающийся проверке профессиональный опыт и понимали, как работает протокол. Была создана группа Telegram, и за этим последовали месяцы предметных разговоров о торговых стратегиях и интеграции хранилищ, взаимодействия, которые являются стандартными для того, как торговые фирмы внедряют протоколы DeFi.

В период с декабря 2025 года по январь 2026 года группа создала Ecosystem Vault на Drift, провела несколько рабочих сессий с участниками, вложила более 1 миллиона долларов собственного капитала и создала функционирующее оперативное присутствие внутри экосистемы.

Участники Drift встречались с представителями группы лично на нескольких крупных отраслевых конференциях в нескольких странах в течение февраля и марта. К моменту начала атаки 1 апреля отношениям было уже почти полгода.

Компромисс, судя по всему, был достигнут по двум направлениям.

Второй загрузил приложение TestFlight, платформу Apple для распространения предварительных версий приложений, минующую проверку безопасности App Store, которую группа представила как свой кошелек.

Что касается вектора репозитория, Дрифт указал на известную уязвимость в VSCode и Cursor, двух наиболее широко используемых редакторах кода при разработке программного обеспечения, которую сообщество безопасности отмечало с конца 2025 года, когда простого открытия файла или папки в редакторе было достаточно для бесшумного выполнения произвольного кода без каких-либо подсказок или предупреждений.

После того, как устройства были скомпрометированы, злоумышленники получили все необходимое для получения двух разрешений с мультиподписью, которые позволили провести надежную nonce-атаку, подробно описанную CoinDesk ранее на этой неделе. Эти заранее подписанные транзакции бездействовали более недели, прежде чем были выполнены 1 апреля, в результате чего из хранилищ протокола было украдено 270 миллионов долларов менее чем за минуту.

Атрибуция указывает на UNC4736, северокорейскую государственную группу, также отслеживаемую как AppleJeus или Citrine Sleet, на основании как потоков средств в цепочке, восходящих к злоумышленникам Radiant Capital, так и оперативного дублирования с известными личностями, связанными с КНДР.

Однако лица, которые лично присутствовали на конференциях, не были гражданами Северной Кореи. Известно, что субъекты угроз КНДР на этом уровне используют сторонних посредников с полностью установленными личностями, историей трудоустройства и профессиональными сетями, созданными для того, чтобы выдержать должную осмотрительность.

Дрифт призвал другие протоколы проверять контроль доступа и рассматривать каждое устройство, касающееся мультиподписи, как потенциальную цель. Более широкий смысл неудобен для отрасли, которая полагается на управление с несколькими подписями в качестве основной модели безопасности.

Но если злоумышленники готовы потратить шесть месяцев и миллион долларов на создание законного присутствия внутри экосистемы, лично встретиться с командами, внести реальный капитал и подождать, вопрос в том, какая модель безопасности предназначена для того, чтобы это отследить.