ru
Назад к списку

Drift раскрыла детали взлома на $280 млн: атака готовилась полгода и связана с КНДР

source-logo  incrypted.com 05 Апрель 2026 13:05, UTC
image

Децентрализованная биржа Drift сообщила детали атаки, в результате которой из протокола вывели около $280 млн. Инцидент произошел 1 апреля 2026 года. Команда приостановила работу части функций, удалила скомпрометированные кошельки из мультисигa и пометила адреса злоумышленников на централизованных биржах и у провайдеров мостов.

К расследованию привлекли компанию Mandiant. Drift также сотрудничает с правоохранительными органами и судебно-криминалистическими партнерами.

Как готовилась атака?

По предварительным данным, атака стала результатом длительной операции социальной инженерии. Ее подготовка длилась около шести месяцев. В заявлении говорится, что осенью 2025 года группа лиц представилась количественной трейдинговой компанией и установила контакт с контрибьюторами Drift на отраслевых конференциях. Далее они:

  • поддерживали регулярную коммуникацию через Telegram;
  • обсуждали торговые стратегии;
  • внесли более $1 млн собственного капитала;
  • участвовали в рабочих сессиях и демонстрировали техническую экспертизу.

Злоумышленники системно выстраивали доверие. Они лично встречались с участниками команды на нескольких конференциях и создали полноценное присутствие в экосистеме проекта.

Основные векторы компрометации и причастность КНДР

Команда Drift выделила несколько вероятных сценариев проникновения:

  • компрометация через клонирование репозитория, который содержал вредоносный код;
  • установка приложения через TestFlight под видом криптокошелька;
  • использование уязвимостей в редакторах кода, в частности VSCode и Cursor.

Последний сценарий предполагает возможность выполнения произвольного кода при открытии файла или репозитория без дополнительных подтверждений пользователя. После атаки злоумышленники удалили Telegram-чаты и следы вредоносного ПО.

По оценкам команды SEALS 911 и компании Mandiant, со средне-высокой уверенностью атаку связывают с группой UNC4736. Она также известна как AppleJeus или Citrine Sleet и, по данным исследователей, имеет связи с Северной Кореей.

Напомним, ранее команда Incrypted разобралась в схеме атаки, которую использовал хакер, а также изучила обстоятельства дела и реакцию экспертов:

incrypted.com