Я только что прочитал подробный отчет, опубликованный Drift о взломе на 270 миллионов долларов, и честно говоря, это вызывает тревогу. Мы говорим не о обычной атаке, а о операции государственного разведывательного агентства, которая длилась практически шесть месяцев.

Сам способ развития событий вызывает у меня наибольшее удивление. Согласно анализу Drift, группа, связанная с государством Северной Кореи, выступила на важной конференции по криптовалютам примерно осенью 2025 года в роли фирмы по количественной торговле. Это было не импровизированное мероприятие. У них были проверяемые профессиональные учетные данные, легитимные технические знания о работе протокола и точное понимание, как интегрироваться в DeFi-экосистемы.

В последующие месяцы, с декабря 2025 года по январь, группа внедрила в Drift «Крипто-Эко-сейф», провела рабочие сессии с сотрудниками, вложила более миллиона долларов своего капитала и заручилась статусом легитимных участников. Даже в феврале и марте они лично встречались с командой Drift на нескольких международных конференциях. К моменту выполнения атаки 1 апреля они почти полгода строили это присутствие.

Техническое внедрение было сложным. Они взломали устройства через два основных вектора. Во-первых, они распространили поддельное приложение TestFlight — платформу Apple, которая позволяет обходить проверку безопасности App Store. Во-вторых, они использовали известную уязвимость в VSCode и Cursor, о которой сообщество безопасности сообщало с конца 2025 года. Просто открытие файла в этих редакторах позволяло выполнять произвольный код без предупреждений.

Оказавшись внутри, они получили все необходимое для получения двух мультиподписных одобрений. Предварительно подписанные транзакции оставались в состоянии покоя более недели, прежде чем были выполнены 1 апреля, что позволило вывести 270 миллионов долларов с депозитов протокола менее чем за минуту.

Исследователи связали этот взлом с UNC4736, также известной как AppleJeus или Citrine Sleet, основываясь на потоках средств в цепочке и операционной перекрываемости с актерами, связанными с Северной Кореей. Хотя лица, выступавшие на конференциях, не были гражданами Северной Кореи, стандартной практикой для угроз такого уровня является использование посредников с полностью сфабрикованными личностями и профессиональным прошлым, чтобы пройти аудит по проверке благонадежности.

То, что указывает Drift, вызывает дискомфорт для всей индустрии. Если злоумышленники готовы инвестировать шесть месяцев, миллион долларов и терпение, чтобы построить легитимное присутствие внутри экосистемы, то какая модель безопасности действительно предназначена для обнаружения этого? Протоколы полагаются на мультиподписы как на свою основную защиту, но эта операция выявляет глубокие слабости в этой модели, когда против тебя выступают государственные противники с неограниченными ресурсами.

Drift призывает другие протоколы проверить контроль доступа и рассматривать каждое устройство, взаимодействующее с мультиподписом, как потенциальную цель. Это напоминание о том, что в DeFi доверие остается наиболее эффективным вектором атаки, даже когда пытаешься исключить его из уравнения.