Прочитав звіт про інцидент Drift щодо того $270 мільйонного злома у квітні, чесно кажучи, рівень складності тут досить дивовижний. Це не був випадковий хак — мова йде про шести місячну розвідку, яку вели групи, пов’язані з північнокорейською державною структурою, які фактично вбудувалися всередину протоколу перед тим, як здійснити атаку.

Отже, ось як це сталося. Близько осені 2025 року ці актори з’явилися на великій конференції з криптовалют, видаючи себе за квантову торгову фірму. Вони мали технічні навички, легітимний вигляд і справді розуміли протокол Drift. Протягом наступних кількох місяців вони проходили те, що виглядало як цілком нормальний процес реєстрації — створювали групу в Telegram, мали реальні розмови про торгові стратегії та інтеграцію сейфів, внесли понад $1 мільйонів власних коштів і навіть зустрічалися з учасниками Drift особисто на кількох конференціях у різних країнах у лютому та березні.

Коли вони здійснили злом 1 квітня, вони вже майже півроку будували цю довіру. Це той рівень терпіння, якого більшість зловмисників не мають.

Сам компрометинг стався через два хитрі вектори. По-перше, вони змусили людей завантажити фальшивий додаток гаманця через TestFlight, що обійшло процес перевірки безпеки Apple. По-друге, вони використали відому уразливість у VSCode і Cursor, про яку попереджали з кінця 2025 року — фактично, відкриття файлу у редакторі могло безшумно виконати довільний код без будь-яких попереджень.

Після компромету пристроїв вони отримали доступ до необхідних мульти-підписів. Попередньо підписані транзакції пролежали без дії понад тиждень, перш ніж виконатися 1 квітня, витягнувши $270 мільйонів менш ніж за хвилину.

Розслідувачі простежили це до UNC4736, також відомої як AppleJeus або Citrine Sleet — тієї ж групи, що стояла за атакою Radiant Capital. Цікаво, що ті, хто фактично з’являвся на конференціях, не були громадянами Північної Кореї. Ці актори використовують повністю сконструйовані сторонні особистості з історіями працевлаштування та професійними мережами, створеними для проходження перевірок.

Що справді тривожно, так це ширше питання, яке це піднімає для DeFi. Якщо зловмисники готові витратити шість місяців і мільйон доларів на створення легітимної присутності, зустрічі з командами особисто, внесення реального капіталу і просто чекати правильного моменту — яка модель безпеки справді здатна це зловити? Drift попереджає інші протоколи перевіряти доступи та ставитися до кожного пристрою, що має доступ до мульти-підпису, як до потенційної цілі. Але неприємна правда полягає в тому, що управління мульти-підписом, на яке покладається більшість галузі як на основну модель безпеки, може мати глибокі структурні слабкості при такому рівні складності.

Цей інцидент змушує переосмислити, що означає "безпечний" у масштабі.