Северная Корея только что украла 577 миллионов долларов из криптовалюты с помощью двух атак, вот как

В апреле 2026 года на два взлома на сумму 577 миллионов долларов пришлось 76% всех краж криптовалют в этом году. Оба были работой северокорейской группы Lazarus.

Ни один из них не был эксплойтом смарт-контракта. Злоумышленники потратили шесть месяцев, выдавая себя за торговую фирму, лично посещая конференции по криптовалютам и налаживая реальные отношения с инженерами Drift Protocol, прежде чем за двенадцать минут получить подписи, необходимые для кражи 285 миллионов долларов.

Другая атака унесла 292 миллиона долларов из одного уязвимого узла моста. Это больше не проблема криптобезопасности. Это спонсируемая государством разведывательная операция, проводимая страной, которая использует полученные средства для финансирования своей программы вооружения. И индустрия только начинает это признавать.

Двенадцать минут в апреле

1 апреля 2026 года в 16:06:09 UTC злоумышленник опустошил основные хранилища Drift Protocol, крупнейшей децентрализованной бессрочной биржи фьючерсов на Солане, примерно на 285 миллионов долларов пользовательских активов. При первом выводе было перемещено 41,72 миллиона токенов JLP. Последнее перемещение составило 2200 долларов США ETH. Вся сокровищница была опустошена за двенадцать минут — примерно столько же времени требуется, чтобы написать длинное текстовое сообщение.

В первом публичном заявлении команды, опубликованном на X в течение нескольких часов, сообщество просило подтвердить, что необычная активность, которую они наблюдают, не была первоапрельской шуткой. Это не так. Это стало кульминацией шестимесячной методической подготовки оперативников, работающих на правительство Северной Кореи.

САМОСТОЯТЕЛЬНО: протокол Drift объявляет, что все кошельки, пострадавшие от эксплойта 1 апреля, получат токены восстановления, каждый из которых представляет собой подтвержденную потерю и заявку пропорционального пула восстановления pic.twitter.com/DRv4A61nBu

— crypto.news (@cryptodotnews) 5 мая 2026 г.

Семнадцать дней спустя, 18 апреля, злоумышленники украли 292 миллиона долларов из KelpDAO, протокола рестейкинга, манипулируя конфигурацией с одним верификатором в его мосте LayerZero. На эти две атаки в совокупности пришлось примерно 95 процентов от апрельской кражи криптовалюты на сумму 625 миллионов долларов, что сделало апрель 2026 года худшим месяцем для криптобезопасности в истории. Кража с начала года по апрель превысила 1 миллиард долларов. TRM Labs получила 76 процентов от общего числа атак в 2026 году на две атаки. Оба были делом рук одного и того же злоумышленника.

НОВИНКА: KelpDAO перемещает $rsETH в Chainlink CCIP, ссылаясь на инфраструктуру LayerZero как на апрельский источник эксплойта DeFi стоимостью более 300 миллионов долларов pic.twitter.com/6pjFShk30N

— crypto.news (@cryptodotnews) 6 мая 2026 г.

Этим субъектом угрозы является группа «Лазарь», общее название, которое западные спецслужбы используют для спонсируемых государством хакерских операций, проводимых Генеральным разведывательным бюро, главным разведывательным агентством Северной Кореи. С 2017 года Lazarus и его подразделения украли более 6 миллиардов долларов в криптовалюте.

По данным Chainaанализа, только в 2025 году из этой суммы было украдено 2,06 миллиарда долларов, главным образом из-за катастрофического взлома Bybit на 1,5 миллиарда долларов в феврале того же года, крупнейшей кражи криптовалюты в истории. Темп 2026 года позволит группе уверенно преодолеть общий показатель 2025 года.

Это не история криптобезопасности в традиционном смысле этого слова. Угрозы, с которыми сегодня сталкиваются протоколы DeFi, — это не те угрозы, для защиты от которых они были созданы. В 2020 году тревогу вызывали ошибки в смарт-контрактах, эксплойты флэш-кредитов и уязвимости в коде. Реальность 2026 года — это устойчивые, продолжающиеся в нескольких странах, многомесячные операции, проводимые профессионалами разведки, которым не нужен эксплойт кода, потому что у них уже есть ключи. Им просто нужно было убедить кого-то передать их.

Вот что такое Дрифт-атака. И понимание этого — самое важное образование в области безопасности, которое любой владелец криптовалюты, строитель или руководитель может получить прямо сейчас.

Операция «Дрифт», шаг за шагом

Собственное вскрытие Drift Protocol, опубликованное в начале апреля, больше похоже на отчет контрразведки, чем на раскрытие информации о безопасности. Он начнется в октябре 2025 года.

На крупной конференции по криптовалюте к участникам Drift подошла группа людей, представившихся представителями фирмы, занимающейся количественной торговлей. Они имели подтвержденный профессиональный опыт, демонстрировали техническую компетентность и задавали именно те вопросы, которые задавала бы настоящая институциональная торговая фирма по поводу интеграции с протоколом бессрочных контрактов. Участники Drift, которые регулярно занимаются такими запросами, относились к ним как к любому другому потенциальному институциональному партнеру.

Дрифт впоследствии пояснил, что лица, присутствовавшие на этих личных встречах, не были гражданами Северной Кореи. В операциях Lazarus почти всегда используются сторонние посредники для личного контакта, при этом фактические технические операторы остаются в Северной Корее или Китае. Исследователь блокчейна ZachXBT, который годами отслеживает криптооперации КНДР, отметил, что эта многоуровневая структура идентификации является одной из определяющих особенностей кампаний Lazarus.

Группа не остановилась после первой конференции. В течение шести месяцев одни и те же оперативники или оперативники, представлявшие одни и те же личности, появлялись на нескольких глобальных отраслевых мероприятиях, укрепляя отношения с конкретными участниками Drift. Создана группа в Telegram.