Drift Protocol (DRIFT) опубликовал подробное обновление инцидента 5 апреля, раскрыв, что эксплойт на $285 миллионов 1 апреля стал результатом шестимесячной разведывательной операции, приписываемой субъектам, поддерживаемым государством Северной Кореи.
Раскрытие описывает уровень социальной инженерии, который выходит далеко за рамки типичного фишинга или мошенничества с рекрутерами, включая личные встречи, реальное развертывание капитала и месяцы построения доверия.
Поддельная торговая фирма, которая играла в долгую
Согласно Drift, группа, выдававшая себя за количественную торговую фирму, впервые обратилась к участникам на крупной криптовалютной конференции осенью 2025 года.
В течение следующих месяцев эти лица появлялись на нескольких мероприятиях в разных странах, проводили рабочие сессии и поддерживали постоянные разговоры в Telegram об интеграции хранилищ.
Следите за нами в X, чтобы получать последние новости по мере их появления
С декабря 2025 года по январь 2026 года группа подключила Ecosystem Vault на Drift, внесла более $1 миллиона капитала и участвовала в детальных обсуждениях продукта.
К марту участники Drift встречались с этими лицами лицом к лицу несколько раз.
Даже эксперты по веб-безопасности находят это тревожным: исследователь Тэй поделилась, что первоначально ожидала типичного мошенничества с рекрутерами, но обнаружила, что глубина операции гораздо более тревожна.
Как устройства были скомпрометированы
Drift выявил три вероятных вектора атаки:
- Один участник клонировал репозиторий кода, которым группа поделилась для фронтенда хранилища.
- Второй загрузил приложение TestFlight, представленное как продукт кошелька.
- Для вектора репозитория Drift указал на известную уязвимость VSCode и Cursor, о которой исследователи безопасности сообщали с конца 2025 года.
Эта уязвимость позволяла произвольному коду выполняться молча в момент открытия файла или папки в редакторе без необходимости взаимодействия с пользователем.
После утечки 1 апреля атакующие удалили все чаты в Telegram и вредоносное программное обеспечение. Drift с тех пор заморозил оставшиеся функции протокола и удалил скомпрометированные кошельки из мультиподписи.
Команда SEALS 911 оценила со средней-высокой уверенностью, что те же субъекты угроз осуществили взлом Radiant Capital в октябре 2024 года, который Mandiant приписал UNC4736.
Потоки средств на цепочке и операционные совпадения между двумя кампаниями подтверждают эту связь.
Индустрия призывает к сбросу безопасности
Армани Ферранте, известный разработчик Solana, призвал каждую криптокоманду приостановить усилия по росту и провести аудит всего стека безопасности.
Drift отметил, что лица, которые появлялись лично, не были гражданами Северной Кореи. Субъекты угроз КНДР на этом уровне, как известно, используют посредников третьих сторон для личного взаимодействия.
Mandiant, которого Drift привлек для криминалистики устройств, еще официально не приписал эксплойт.
Раскрытие служит предупреждением для более широкой экосистемы. Drift призвал команды проводить аудит контроля доступа, рассматривать каждое устройство, которое взаимодействует с мультиподписью, как потенциальную цель, и связываться с SEAL 911, если они подозревают аналогичное таргетирование.
Пост «Ограбление Drift Protocol на $285 миллионов началось с рукопожатия и 6 месяцев доверия» впервые появился на BeInCrypto.
Источник: https://beincrypto.com/drift-north-korea-spy-operation-hack/
