coinedition.com
Drift Protocol опубликовал подробный разбор эксплойта 1 апреля, который истощил пользовательские средства в размере 285 миллионов долларов, и подтвердил, что атака была не простой ошибкой, а долгосрочной, скоординированной операцией.
Команда заявила, что эксплойт стал результатом месяцев целенаправленной инфильтрации, которая сочетала социальную инженерию, технические эксплойты и инсценированную онлайн-активность.
Шестимесячное проникновение привело к прорыву
По данным Drift Protocol, атака началась уже осенью 2025 года. Люди, выдающие себя за компанию по количественной торговле, обращались к участникам на нескольких криптоконференциях.
Со временем они укрепляли доверие, проводили технические обсуждения, участвовали в рабочих сессиях и внесли более 1 миллиона долларов в протокол. Была создана группа в Telegram, и взаимодействия продолжались месяцами.
К началу 2026 года они полностью интегрировались в экосистему Drift через стратегию хранилища. Участники встречались с ними лично несколько раз, и было установлено доверие, которое стало отправной точкой.
Атака была быстрой, подготовка медленной
Сам эксплойт занял около 12 минут, но подготовка заняла недели в цепочке и месяцы вне неё.
Лаборатория TRM установила , что стадия началась 11 марта. Злоумышленники использовали Tornado Cash для финансирования операций, развернули поддельный токен под названием CarbonVote (CVT) и создали искусственную историю цен с помощью wash trading.
В то же время они нацеливались на многоподписных подписчиков. С помощью социальной инженерии они получали одобрения на транзакции, которые казались рутинными, но содержали скрытые права.
27 марта произошли важные изменения. Drift перенёс свой Совет Безопасности на конфигурацию 2/5 без ограничения времени и убрал слой задержки, который мог бы остановить атаку.
1 апреля всё было исполнено. Злоумышленник указал CVT в качестве залога, завысил его стоимость, манипулируя данными Oracle, и вывел реальные активы, такие как USDC, в 31 транзакции. Средства были переведены на Ethereum в течение нескольких часов.
Ключевые слабые места: мультисиг и дизайн оракула
Взлом не основывался на дефекте смарт-контракта. Он эксплуатировал слабые стороны процесса. Во-первых, мультиподписчики одобряли транзакции без обнаружения скрытых действий.
Во-вторых, снятие временного замка устранило окно безопасности. В-третьих, система оракула принимала поддельный актив с минимальной ликвидностью в качестве действительного залога.
Внутренний обзор Drift также указывает на возможный компромисс на уровне устройства. Один из участников мог быть раскрыт через вредоносный репозиторий кода. Другой мог установить скомпрометированное приложение TestFlight, представленное в виде кошелька.
Известная уязвимость в инструментах разработки, таких как VSCode, могла позволить бесшумное выполнение кода.
Важно отметить, что Elliptic и TRM Labs обе отмечали закономерности, связанные с северокорейскими операциями. К ним относятся использование Tornado Cash, синхронизация с часами работы в Пхеньяне и быстрое отмывание между цепями.
Дрифт отметил, что существует средне-высокая уверенность, что та же группа, стоящая за взломам Radiant Capital в октябре 2024 года, замешана. Группу связывают с UNC4736, также известным как AppleJeus или Citrine Sleet.
Связано: Нарушение протокола Drift вызвало убытки до $285 млн, токен упал на 42%