Я только что прочитал довольно тревожный анализ о том, что недавно произошло с Drift Protocol. Оказывается, взлом на 270 миллионов долларов был не случайной атакой, а тщательно спланированной операцией разведки из Северной Кореи, которая длилась примерно шесть месяцев.

Самое тревожное — как они это сделали. Группа, связанная с государством Северной Кореи, проникла в экосистему Drift, притворяясь фирмой, занимающейся количественной торговлей. Чтобы понять, что такое Drift и как он работает, нужно знать, что это протокол DeFi, основанный на использовании нескольких подписей для обеспечения безопасности. Итак, эти злоумышленники проявили невероятное терпение и сложность. Сначала они вышли на контакт примерно осенью 2025 года на важной конференции по криптовалютам, представляясь специалистами по торговле. У них были проверяемые профессиональные креденциалы, они говорили на техническом языке протокола и точно знали, что сказать.

В течение нескольких месяцев они вели содержательные беседы о стратегиях и хранилищах экосистемы, что является вполне обычным в процессе интеграции фирм в протоколы DeFi. Между декабрем 2025 года и январем 2026 года они внедрили Хранилище Экосистемы, провели рабочие сессии с сотрудниками Drift, вложили более миллиона долларов своего капитала и установили операционное присутствие внутри экосистемы. Самое смелое — они лично встречались с командами Drift на нескольких важных конференциях в феврале и марте. К апрелю, когда был совершен взлом, их отношения длились почти полгода.

Проникновение произошло через два технических вектора. Во-первых, они скачали приложение TestFlight — платформу Apple, которая распространяет предварительные версии приложений без проверки безопасности, — представляя его как свой продукт-кошелек. Во-вторых, они использовали известную уязвимость в VSCode и Cursor — двух самых популярных редакторах кода для разработки, — где простое открытие файла запускало произвольный код без предупреждения. После взлома устройств они получили все необходимое для получения двух мультиподписных одобрений, которые и позволили провести атаку 1 апреля, выведя 270 миллионов долларов менее чем за минуту.

Исследователи приписали всё это группе UNC4736, также известной как AppleJeus или Citrine Sleet, — группе, связанной с государством Северной Кореи. Интересно, что люди, встречавшиеся лично, не были гражданами Северной Кореи, а выступали посредниками с полностью вымышленными личностями, фальшивыми трудовыми историями и профессиональными сетями, созданными для прохождения любой проверки.

Это выявляет неприятную проблему для всей индустрии DeFi: если злоумышленники готовы инвестировать шесть месяцев и миллион долларов, чтобы построить легитимное присутствие, встретиться с командами лично и терпеливо ждать, то какая модель безопасности действительно предназначена для обнаружения этого? Drift теперь предупреждает, что индустрия должна проводить аудит контрактов доступа и рассматривать каждое устройство, взаимодействующее с мультисигами, как потенциальную цель. Основной вопрос — достаточно ли мультисигов как основной модели безопасности в DeFi против противников такого уровня.