Cryptonews

Как северокорейские оперативники организовали криптоограбление на сумму 270 миллионов долларов после нескольких месяцев проникновения пациентов

Источник
cryptonewstrend.com
Опубликовано
Как северокорейские оперативники организовали криптоограбление на сумму 270 миллионов долларов после нескольких месяцев проникновения пациентов

Оглавление 1 апреля в Drift Protocol произошла катастрофическая утечка безопасности стоимостью 270 миллионов долларов в результате расширенной кампании по проникновению, организованной поддерживаемым государством Северной Кореей хакерским коллективом и продолжавшейся примерно полгода. 🚨СЕВЕРНАЯ КОРЕЯ ТОЛЬКО ПРОИЗОШЛА САМЫЙ УЖАСНЫЙ ВЗЛОМ В ИСТОРИИ КРИПТО.. И ЭТО ПОЛУЧИЛО ИМ 6 МЕСЯЦЕВ ТЕРПЕНИЯ.. Они не отправили фишинговое письмо.. Они не использовали смарт-контракт.. Они построили отношения.. Осень 2025 года.. «Квантовая торговая фирма» подходит к Дрифту… https://t.co/pTScEhV9sb pic.twitter.com/z8awPLGQ7l — Эван Лутра (@EvanLuthra) 5 апреля 2026 г. Сложная операция началась на известной конференции по криптовалютам осенью 2025 года. Преступники успешно выдавали себя за представителей количественной торговой операции, прибыв с обширными техническими знаниями, подтвержденными профессиональными полномочиями и детальным знакомством с инфраструктурой и операциями Drift. Первоначальная связь была установлена ​​через канал Telegram, что положило начало многомесячному устойчивому диалогу. Обсуждения были сосредоточены на темах, типичных для институциональных торговых партнерств: протоколы интеграции хранилищ, стратегические торговые методологии и операционные основы. В период с декабря 2025 года по январь 2026 года мошенническая организация официально создала Ecosystem Vault в экосистеме Drift. Они провели множество совместных рабочих сессий с участниками платформы и вложили более 1 миллиона долларов реального капитала — продуманный шаг, призванный установить подлинность. В течение февраля и марта 2026 года сотрудники Drift проводили прямые личные встречи с представителями группы на различных международных конференциях в разных странах. К моменту теракта 1 апреля отношения сложились почти за полгода. Нарушение материализовалось благодаря стратегии двухвекторной атаки. Первоначально член команды установил приложение TestFlight — бета-систему распространения Apple, которая обходит стандартные процессы проверки безопасности App Store, — которое злоумышленники рекламировали как собственное решение для кошельков. Кроме того, злоумышленники использовали публично задокументированную уязвимость, присутствующую в VSCode и Cursor, двух распространенных интегрированных средах разработки. Для эксплойта не требовалось ничего, кроме открытия скомпрометированного файла в любом из редакторов, чтобы незаметно выполнить вредоносный код полезной нагрузки, не вызывая никаких уведомлений пользователя или предупреждений системы безопасности. После успешного взлома устройства злоумышленники методично извлекли учетные данные, необходимые для обеспечения двух подтверждений кошелька с мультиподписью. Эти предварительно авторизованные транзакции оставались неактивными более недели до исполнения 1 апреля, в результате чего за шестьдесят секунд было извлечено 270 миллионов долларов. Аналитики по кибербезопасности связали инцидент с UNC4736, группой злоумышленников, также известной как AppleJeus или Citrine Sleet. Экспертиза блокчейна выявила закономерности транзакций, связанные с компрометацией Radiant Capital в октябре 2024 года, которую следователи также приписали северокорейским субъектам. Примечательно, что лица, физически появившиеся на конференциях, не были гражданами Северной Кореи — группы, связанные с КНДР, обычно используют третьих лиц с тщательно сфабрикованными личностями. Специалист по правовым вопросам криптовалют Ариэль Гивнер указал, что инцидент потенциально представляет собой гражданскую халатность, влекущую за собой ответственность. Она подчеркнула, что фундаментальные протоколы безопасности, включая поддержание ключей подписи в изолированных, изолированных системах и проведение тщательной проверки биографических данных разработчиков, с которыми сталкиваются на отраслевых мероприятиях, по-видимому, реализованы неадекватно. "Каждый заслуживающий доверия проект понимает эти требования. Drift не смог их реализовать", - заявил Гивнер. Маркетинговые материалы для коллективных исков против Drift уже находятся в обращении. Команда безопасности Drift выразила «средне-высокую уверенность», что те же самые злоумышленники осуществили атаку Radiant Capital в октябре 2024 года, когда вредоносное программное обеспечение распространялось через Telegram от лица, выдававшего себя за бывшего подрядчика.