Взлом протокола Drift, возможно, осуществлен хакерами из Северной Кореи. Выявлена многомесячная операция по проникновению = Официальный последний отчет

Основные моменты статьи:

• Выявлена операция по проникновению, продолжавшаяся более полугода, возможно, причастны хакеры из Северной Кореи, группа "UNC4736".
• Определены несколько путей проникновения, включая уязвимость VSCode.

Следы социальной инженерии

Децентрализованная торговая платформа, основанная на блокчейне Solana (SOL), Drift Protocol, 5 числа опубликовала отчет о расследовании крупной хакерской атаки, произошедшей 1 числа. Согласно заявлению команды, в результате этого инцидента было установлено, что это была "организованная операция по проникновению", подготовка к которой велась более полугода.

Согласно результатам первоначального расследования, подготовка к атаке началась осенью 2025 года. Группа злоумышленников, выдававшая себя за компанию, занимающуюся количественной торговлей, установила контакт с сотрудниками Drift на крупных криптовалютных конференциях. Они обладали глубокими техническими знаниями и подтвержденным опытом, а также были хорошо знакомы со структурой Drift.

После этого группа продолжала устанавливать контакты на мероприятиях в разных странах, намеренно укрепляя отношения с определенными разработчиками и операторами.

После первого контакта была создана группа в Telegram, где в течение нескольких месяцев велись практические обсуждения стратегий торговли и интеграции Vault (хранилища активов). С декабря 2025 года по январь 2026 года группа представила подробные стратегии и фактически создала "экосистемный Vault" на платформе Drift, внесла более 1 миллиона долларов США, совершая действия, которые не отличались от обычного процесса подключения, что позволило им завоевать доверие изнутри.

С февраля по март 2026 года продолжались консультации по интеграции Vault. На этом этапе группа злоумышленников была признана сотрудниками Drift как "бизнес-партнеры, с которыми планируется сотрудничество", и им были предоставлены репозитории, инструменты и приложения, связанные с разработкой.

Сторона Drift объясняет, что подобная практика является обычной для торговых компаний, но в конечном итоге, вероятно, именно эти взаимодействия стали путями проникновения для атаки.

Сразу после начала атаки история чатов в Telegram с группой злоумышленников и связанное вредоносное ПО были полностью удалены, что указывает на наличие заранее разработанного плана.

Статья по теме: [Хакерская атака на Drift на сумму 45 миллиардов иен, методы несанкционированного доступа?] (https://coinpost.jp/?p=699097)

Децентрализованная биржа "Drift", работающая на блокчейне Solana, подверглась хакерской атаке, в результате которой были украдены активы на сумму около 45 миллиардов иен (примерно 450 миллионов долларов США). Предположительно, злоумышленники использовали сложные методы, включающие социальную инженерию.

Пути проникновения и идентификация злоумышленников

В отчете указаны следующие возможные пути проникновения:

• Метод, при котором злоумышленники, выдавая себя за разработчиков фронтенда, заставляли жертв клонировать общий репозиторий кода.
• Метод, при котором жертв заставляли устанавливать приложение TestFlight, замаскированное под кошелек.
• Атака, инициированная через репозиторий.

В отношении атаки, начатой через репозиторий, в то время сообщество специалистов по безопасности неоднократно предупреждало о уязвимостях в таких редакторах, как VSCode и Cursor. Эти уязвимости позволяли злоумышленникам выполнять произвольный код на компьютере пользователя без каких-либо предупреждений, просто при открытии репозитория или файла в редакторе.

В расследовании этой атаки официально участвует компания Mandiant, являющаяся мировым лидером в области кибербезопасности. В настоящее время проводятся детальные криминалистические исследования на уровне устройств.

Согласно текущим результатам расследования, существует "умеренная-высокая вероятность" того, что атака на "Drift" была совершена теми же лицами, что и атака на "Radiant Capital" в октябре 2024 года. Эти злоумышленники идентифицированы компанией Mandiant как "UNC4736" и являются частью северокорейской хакерской группы, известной как "AppleJeus/Citrine Sleet".

Стоит отметить, что личность человека, с которым компания "Drift" взаимодействовала, предположительно не является гражданином Северной Кореи. Однако, использование третьих лиц для установления личных контактов является известной тактикой северокорейских хакеров.

В настоящее время компания "Drift" временно приостановила работу всех протокольных функций и исключила скомпрометированные кошельки из системы мультиподписи. Адреса злоумышленников были помечены как заблокированные на основных биржах и мостах.

Статья по теме: В феврале объем убытков от криптовалют снизился на 80%, целью хакеров стали "люди", а не "код"

Согласно ежемесячному отчету компании Nominis, специализирующейся на безопасности блокчейна, объем убытков от криптовалют в феврале 2026 года составил около 49,3 миллиона долларов США, что на 87% меньше, чем в предыдущем месяце. Однако, в то время как ранее целью хакеров были уязвимости в смарт-контрактах, теперь они используют социальную инженерию, эксплуатируя поведение пользователей, включая фишинг и подмену адресов.

Связанная статья: Что такое Solana (SOL)? | Полное руководство по механизму, ETF и стейкингу [2026 год]

Что такое Solana? | Последние новости, ключевые моменты (объяснение) Как купить Solana? | Рекомендуемые биржи и инструкция по покупке

Специальные статьи CoinPost Новое!

📊Руководство по инвестициям: Начните инвестирование в экономической экосистеме SBI | Комплексное руководство по криптовалютам, акциям и NISA→ 📈Руководство по акциям: Как начать инвестировать в акции | Базовые знания, технический анализ, акции, связанные с криптовалютами→ 🔰Руководство по криптовалютам: Что такое криптовалюта? Как начать, налоги, инвестирование | Полное руководство для начинающих→ ₿Руководство по Bitcoin: Что такое Bitcoin? | Подробное объяснение принципов работы, истории и перспектив→ 📚Руководство по Ethereum: Что такое Ethereum? | Подробное объяснение принципов работы, истории и перспектив→ 📝Руководство по XRP: Что такое XRP? | Подробное объяснение принципов работы, истории и перспектив→ 💰Что такое стейблкоины? | Подробное объяснение принципов работы, типов, рисков и перспектив→ 💊3 лучших добавки для здоровья, на которые обращают внимание инвесторы: Поддержка при усталости, стрессе, недостатке сна и контроле уровня сахара в крови→ 💡Вакансии: Крупнейшее в Японии медиа о криптовалютах CoinPost ищет новых сотрудников→