forklog.com
Северокорейская группировка Lazarus (TraderTraitor) стоит за взломом DeFi-протокола Drift на $280 млн, установили эксперты Diverg, TRM Labs и Elliptic. Эта же команда ранее атаковала Bybit ($1,5 млрд) и Ronin ($625 млн).
1/10
— Diverg (@DivergSec) April 3, 2026
We've been investigating the @DriftProtocol exploit ($285M) since April 1.
We can confirm along with TRM Labs and Elliptic that North Korea's Lazarus Group (TraderTraitor). Same unit behind Bybit ($1.5B), Ronin ($625M). Was involved.
Here's what our independent on-chain…
Атакующий не просто разово скомпрометировал мультиподпись, как изначально предполагали разработчики пострадавшего проекта.
27 марта Drift обновил правила Совета безопасности: для подтверждения транзакции требовалось две подписи из пяти, и исполнение происходило мгновенно. Однако всего через три дня злоумышленник повторно взломал новый мультисиг и использовал механизм отложенной подписи.
Подготовка к атаке
Хакер начал готовиться к атаке 11 марта. Тогда он вывел 10 $ETH с помощью Tornado Cash в 15:24 по времени Пхеньяна. Средства прошли через цепочку одноразовых кошельков и кроссчейн-мостов.
12 марта на адрес для эмиссии токенов поступило 50 SOL, и к 09:58 по корейскому времени злоумышленник создал 750 млн фальшивых монет CVT. Тот же адрес использовали и в сети BSC. На него зачислили 31,125 BNB через подписанную транзакцию из MetaWallet, после чего средства ушли по тому же маршруту, что и Ethereum.
Ранние сообщения ошибочно утверждали, что на финансирование атаки ушло 30 $ETH из трех выводов через Tornado Cash. Специалисты уточнили, что атакующему принадлежала только одна транзакция на 10 $ETH. Две других ушли сервису для отравления адресов.
Вывод средств
После взлома в Diverg восстановили полную стратегию вывода средств через публичный API CoW Protocol. За 30 минут через веб-интерфейс CoW Swap злоумышленник разместил 10 ордеров, конвертировав $14,6 млн $USDC и 99,8 WBTC примерно в 13 150 $ETH. Все 10 транзакций подтверждены в блокчейне.
Вторичный кошелек-накопитель получил средства из двух источников: 390,86 $ETH из Chainflip Vault и 846 000 $USDC через Circle CCTP (впоследствии конвертированные в 397 $ETH через CoW Protocol). В сумме 788 $ETH ушли на удерживающий адрес.
Поведенческий профиль
Все подтвержденные действия хакера привязаны к рабочим часам Пхеньяна и совершались только по будням.
Методы группировки полностью совпадают с известным профилем Lazarus: подготовка через Tornado Cash, социальная инженерия (фальшивые предложения о работе, как в случае с Bybit SafeWallet), быстрый перевод средств через несколько блокчейнов в Ethereum и удержание похищенных активов.
Однако на этот раз злоумышленники применили новую тактику: выпустили фальшивые токены CVT и подменили данные оракула для искусственного завышения стоимости залога.
По данным Elliptic, взлом Drift стал уже 18 атакой Lazarus с начала 2026 года.
Напомним, в марте северокорейскую группировку заподозрили в атаке на криптовалютный интернет-магазин Bitrefill.