Хакери готувались півроку, витратили на обман $1 млн: подробиці крадіжки $280 млн з Drift Protocol

Команда Drift Protocol оприлюднила результати розслідування хакерського зламу, який коштував біржі приблизно $280 млн. Це була не просто технічна помилка, а масштабна спецоперація, яка тривала понад півроку, пише Coindesk.

Атаку почали готувати ще восени 2025 року. Група зловмисників, ймовірно з КНДР, видавала себе за представників торгової компанії, які зацікавлені в інтеграції з Drift.

Хакери відвідували найбільші криптоконференції у світі, особисто знайомилися з розробниками Drift та підтримували стосунки протягом місяців. При цьому вони використовували підставних осіб, оскільки їхні «представники» не мали азіатської зовнішньості. У них були бездоганні профілі в LinkedIn, професійна мережа контактів та глибокі технічні знання.

Хакери створили групу в Telegram, де кілька місяців тривали змістовні обговорення торгових стратегій та інтеграції сховищ — взаємодія, яка є стандартною для того, як торгові фірми використовують протоколи DeFi.

Між груднем 2025 року та січнем 2026 року група створила екосистемне сховище (vault) на платформі Drift, провела кілька робочих сесій з учасниками, внесла понад $1 мільйон власного капіталу та створила функціонуючу операційну присутність всередині екосистеми.

Технічні вектори атаки

Метод «соціальної інженерії»: Замість класичного пошуку багів, хакери зосередилися на людському факторі. Вони довгий час маніпулювали членами Ради безпеки Drift, змусивши їх підписати транзакції, що здавалися рутинними, але насправді надавали приховані адміністративні повноваження.

Хакери створили власний фейковий токен — CarbonVote Token (CVT). За допомогою фіктивної торгівлі (wash trading) вони штучно роздули його ціну, змусивши Drift визнати його валідною заставою. Це дозволило хакерам «позичити» реальну ліквідність протоколу під заставу «сміттєвих» токенів.

Розслідування виділяє три основні шляхи проникнення:

• Вразливість у редакторах коду (VSCode/Cursor): Один із розробників завантажив репозиторій зловмисників. Через вразливість, відому з кінця 2025 року, шкідливий код виконувався автоматично при простому відкритті папки.
• Шкідливе ПЗ через TestFlight: Інший учасник команди завантажив мобільний додаток (нібито криптогаманець) через офіційний сервіс Apple TestFlight, що дозволило хакерам отримати доступ до пристрою.

Наслідки та хто стоїть за атакою?

З високою ймовірністю операція приписується північнокорейському угрупованню UNC4736 (також відомому як AppleJeus або Citrine Sleet).Ончейн-аналіз показав, що кошти для підготовки атаки на Drift надходили з гаманців, пов’язаних із хаком Radiant Capital у 2024 році.

Зараз всі функції протоколу заморожені, скомпрометовані гаманці видалені з мультипідпису. До розслідування залучено компанію Mandiant.

Більшість викрадених коштів хакери миттєво конвертували в USDC та перевели в мережу Ethereum через кросчейн-мости. Аналітики з Elliptic та TRM Labs зазначають, що почерк атаки, швидкість відмивання грошей та використання специфічних інструментів (як-от Tornado Cash на етапі підготовки) повністю відповідають методам північнокорейських державних угруповань.

Цей інцидент підкреслює зміну тактики державних хакерів: тепер вони все частіше атакують не лише смартконтракти, а й рівень управління (governance) та довіру всередині команд.

Нагадаємо, що підшукуючи жертв серед розробників, хакери маскуються під рекрутерів.

Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn