cointelegraph-ru.com
Разработчики Solana-проекта Drift Protocol подвели итоги расследования взлома. По их данным, инцидент не был разовой атакой, а стал следствием организованной операции по внедрению, которая продолжалась около шести месяцев.
Детали хакерской кампании
С осени 2025 года злоумышленники выдавали себя за фирму, специализирующуюся на алгоритмической торговле. Они устанавливали контакты с сотрудниками Drift на международных блокчейн-конференциях, после чего компрометировали их рабочие устройства.
Для заражения хакеры использовали вредоносные ссылки на репозитории кода и мошеннические приложения в сервисе TestFlight.
«Эта атака стала результатом тщательно спланированной кампании по социальной инженерии, нацеленной непосредственно на участников нашей команды», — говорится в заявлении проекта.
Представители протокола полагают, что за кражей средств может стоять хакерская группировка из КНДР.
«Мы обнаружили явные пересечения в тактике и инструментах с инцидентом Radiant Capital в 2024 году, что указывает на причастность одних и тех же северокорейских акторов», — добавили в Drift.
И снова Lazarus
Аналитики Diverg пришли к выводу, что к инциденту причастна хакерская организация Lazarus.
Атака на платформу стала восемнадцатым инцидентом с участием северокорейской группировки с начала 2026 года. Ранее эта же команда организовала масштабные взломы криптовалютной биржи Bybit на $1,5 млрд и сайдчейна Ronin на $625 млн.
Хакеры последовательно скомпрометировали систему мультиподписей проекта. 27 марта разработчики Drift обновили правила безопасности, установив порог мгновенного подтверждения транзакций «два из пяти».
Спустя три дня злоумышленник атаковал новый мультисиг, использовав уязвимость в механизме отложенной подписи. В рамках этой операции преступники задействовали новые методы в сочетании с привычной тактикой:
-
выпуск 750 млн фальшивых токенов CVT;
-
подмена данных оракула для искусственного завышения стоимости залога;
-
социальная инженерия с использованием фальшивых предложений о работе;
-
маршрутизация средств через цепочку одноразовых кошельков и кроссчейн-мосты.
Подготовка к атаке началась 11 марта с перевода 10 $ETH через миксер Tornado Cash. Основной вывод средств прошел через публичный API CoW Protocol: за 30 минут хакер разместил 10 ордеров, конвертировав $14,6 млн USDC и 99,8 WBTC примерно в 13 150 $ETH.
Дополнительные активы поступили на вторичный кошелек-накопитель через Chainflip Vault и Circle CCTP с последующим обменом на Ethereum ($ETH).
Поведенческий профиль атакующего полностью соответствует паттернам Lazarus — все ончейн-действия зафиксированы в рабочие часы по времени Пхеньяна и совершались исключительно по будням.