Elliptic заявила у четвер, що експлойт Drift Protocol на 285 мільйонів доларів, найбільший цього року, має «численні ознаки» залученості хакерської групи КНДР, що спонсорується державою.
Дослідницька фірма конкретно вказала на поведінку в мережі, методології відмивання та сигнали на рівні мережі, все це узгоджується з попередніми атаками, пов'язаними з державою.
Drift Protocol, токен якого впав більш ніж на 40% приблизно до $0,06 після злому, є найбільшою децентралізованою біржею безстрокових ф'ючерсів на блокчейні Solana.
«Якщо це підтвердиться, цей інцидент стане вісімнадцятою дією КНДР, яку Elliptic відстежила цього року, при цьому було вкрадено понад 300 мільйонів доларів», – йдеться у звіті.
«Це продовження тривалої кампанії КНДР з масштабної крадіжки криптоактивів, яку уряд США пов'язав з фінансуванням її програм озброєнь. Вважається, що суб'єкти, пов'язані з КНДР, відповідальні за крадіжку криптоактивів на мільярди доларів за останні роки», – додала Elliptic.
Кількома годинами раніше дані Arkham показали, що понад 250 мільйонів доларів було переміщено з Drift до тимчасового гаманця, а потім на різні інші адреси.
У грудні звіт Chainalysis виявив, що хакери КНДР вкрали рекордні 2 мільярди доларів криптовалюти у 2025 році, включаючи злом Bybit на 1,4 мільярда доларів, що становить збільшення на 51% порівняно з попереднім роком. Міністерство фінансів США минулого місяця заявило, що Північна Корея використовує вкрадені активи для фінансування програми зброї масового знищення країни.
Замість того, щоб зосереджуватися на самому експлойті, аналіз Elliptic підкреслює знайомий операційний шаблон. Діяльність виглядає «навмисною та ретельно інсценованою», з ранніми тестовими транзакціями та попередньо розміщеними гаманцями перед основною подією.
У звіті пояснюється, що після виконання кошти були швидко консолідовані та обміняні, переміщені через ланцюги та перетворені на більш ліквідні активи, відображаючи структурований, повторюваний потік відмивання, призначений для приховування походження при збереженні контролю.
Центральною проблемою, зазначає Elliptic, є модель облікового запису Solana. Оскільки кожен актив зберігається в окремому токен-акаунті, активність, пов'язана з одним суб'єктом, може виглядати фрагментованою на кількох адресах. Без зв'язку цих елементів слідчі ризикують побачити «фрагменти діяльності зловмисника, а не повну картину».
Саме тут звіт Elliptic підкреслює підхід кластеризації, який з'єднує токен-акаунти назад до єдиної сутності, дозволяючи ідентифікувати експозицію незалежно від того, яка адреса перевіряється. У випадку, що включає понад десяток типів активів, цей погляд на рівні сутності стає критичним.
Справа також підкреслює, додає Elliptic у своєму звіті, як відмивання стало за своєю суттю кросчейн. Кошти переміщувалися з Solana до Ethereum і далі, демонструючи потребу в тому, що Elliptic описала як «цілісні можливості кросчейн відстеження».
Джерело: https://www.coindesk.com/business/2026/04/02/north-koreans-hackers-likely-behind-the-usd286-million-drift-protocol-exploit-elliptic
