Я щойно прочитав детальний звіт, опублікований Drift щодо експлойту на 270 мільйонів доларів, і чесно кажучи, це викликає занепокоєння. Ми говоримо не про звичайну атаку, а про операцію державної розвідки, яка тривала майже шість місяців.

Найбільше мене вразила спосіб, яким усе розвивалося. За аналізом Drift, група, пов’язана з державою Північної Кореї, з’явилася на важливій конференції з криптовалют приблизно восени 2025 року як компанія, що займається кількісною торгівлею. Це не було імпровізовано. Вони мали підтверджені професійні облікові дані, легітимні технічні знання про роботу протоколу і точно знали, як інтегруватися в DeFi-екосистеми.

Протягом наступних місяців, з грудня 2025 року по січень, група додала до Drift Екосистемний сейф, провела робочі сесії з колабораторами, внесла понад мільйон доларів власного капіталу і зарекомендувала себе як легітимні гравці. Навіть у лютому та березні вони особисто зустрічалися з командою Drift на кількох міжнародних конференціях. До моменту виконання атаки 1 квітня вони майже півроку будували цю присутність.

Технічне проникнення було складним. Вони зламали пристрої за допомогою двох основних векторів. По-перше, вони поширили фальшивий додаток TestFlight — платформу Apple, яка обходить перевірки безпеки App Store. По-друге, вони використали відому уразливість у VSCode і Cursor, про яку спільнота безпеки повідомляла з кінця 2025 року. Просто відкриття файлу у цих редакторах дозволяло виконувати довільний код без попереджень.

Після проникнення вони отримали все необхідне для двох мульти-підписів. Попередньо підписані транзакції залишалися неактивними понад тиждень, поки не були виконані 1 квітня, вивівши з депозитів протоколу 270 мільйонів доларів менш ніж за хвилину.

Дослідники приписують атаку UNC4736, також відомому як AppleJeus або Citrine Sleet, базуючись на потоках коштів у ланцюзі та операційній перекритості з акторами, пов’язаними з Північною Кореєю. Хоча особи, які виступали на конференціях, не були громадянами Північної Кореї, стандартною практикою є використання посередників із повністю сфальсифікованими особистостями та історіями роботи, щоб пройти аудит ділової репутації.

Що вказує Drift, — це незручно для всієї індустрії. Якщо зловмисники готові витратити шість місяців, мільйон доларів і терпіння, щоб побудувати легітимну присутність у екосистемі, то яка модель безпеки справді здатна це виявити? Протоколи покладаються на мульти-підпис як на основний захист, але ця операція виявляє глибокі слабкості цієї моделі, коли ви маєте справу з державними противниками, що мають необмежені ресурси.

Drift закликає інші протоколи перевірити контроль доступу і ставитися до кожного пристрою, що взаємодіє з мульти-підписом, як до потенційної цілі. Це нагадування, що у DeFi довіра залишається найефективнішим вектором атаки, навіть коли ви намагаєтеся виключити її з рівняння.