Я щойно прочитав досить тривожний аналіз того, що сталося з Drift Protocol нещодавно. Виявляється, експлойт на 270 мільйонів доларів був не випадковою атакою, а операцією розвідки, організованою північнокорейською розвідкою, яка ретельно планувалася близько шести місяців.

Найбільш тривожним є те, як вони це зробили. Група, пов’язана з урядом Північної Кореї, проникла в екосистему Drift, видаючи себе за компанію, що займається кількісною торгівлею. Щоб зрозуміти, що таке Drift і як він працює, потрібно знати, що це протокол DeFi, який базується на багатьох підписах для безпеки. Отже, ці зловмисники були неймовірно терплячими та високотехнологічними. Спершу вони налагодили контакт приблизно восени 2025 року на важливій конференції з криптовалют, представляючись як фахівці з торгівлі. Вони мали підтверджені професійні креденціали, говорили технічною мовою протоколу і точно знали, що казати.

Протягом місяців вони підтримували суттєві розмови про стратегії та сейфи екосистеми, що є цілком нормальним у процесі інтеграції компаній у протоколи DeFi. Між груднем 2025 і січнем 2026 року вони додали до екосистеми сейф, провели робочі сесії з колегами Drift, внесли понад мільйон доларів власних коштів і закріпилися в екосистемі. Найсміливішим було те, що вони особисто зустрічалися з командами Drift на кількох важливих конференціях у лютому та березні. До квітня, коли вони здійснили атаку, їхні стосунки тривали майже півроку.

Проникнення відбулося через два технічні вектори. По-перше, вони завантажили додаток TestFlight — платформу Apple, яка розповсюджує попередні версії додатків без перевірки безпеки, — і представили його як свій продукт для гаманця. По-друге, вони використали відому уразливість у VSCode і Cursor — двох найпопулярніших редакторах коду для розробки, — де просто відкриття файлу виконувало довільний код без попередження. Після компрометації пристроїв вони отримали необхідне для отримання двох мульти-підписів, що дозволили здійснити атаку 1 квітня, вивівши з рахунків 270 мільйонів доларів менш ніж за хвилину.

Дослідники приписують усе це групі UNC4736, також відомій як AppleJeus або Citrine Sleet, — групі, пов’язаній з урядом Північної Кореї. Цікаво, що особи, які зустрічалися особисто, не були громадянами Північної Кореї, а виступали посередниками з цілком вигаданими ідентичностями, фальшивими трудовими історіями та професійними мережами, створеними для проходження будь-якої перевірки.

Це викриває незручний факт для всієї індустрії DeFi: якщо зловмисники готові витратити шість місяців і мільйон доларів на побудову легітимної присутності, зустрічі з командами особисто і терпляче чекати, то яка модель безпеки насправді здатна це виявити? Drift тепер попереджає, що індустрія має аудитувати контракти доступу і ставитися до кожного пристрою, що взаємодіє з мульти-підписами, як до потенційної цілі. Головне питання — чи є мульти-підписи як основна модель безпеки в DeFi достатніми проти таких рівнів супротивників.