Drift заявляет, что эксплуатация на $270 миллионов была операцией северокорейской разведки, продолжавшейся шесть месяцев

Шестимесячная операция по сбору разведданных предшествовала эксплойту на $270 млн Drift Protocol и была проведена северокорейской группой, связанной с государством, сообщает подробное обновление об инциденте, опубликованное командой ранее в воскресенье.

Злоумышленники впервые вышли на контакт примерно осенью 2025 года на крупной криптоконференции, представляясь фирмой по количественной торговле, которая хочет интегрироваться с Drift.

По словам Drift, они были технически подкованы, имели проверяемые профессиональные биографии и понимали, как работает протокол. Была создана группа в Telegram, а затем последовали месяцы содержательных разговоров о торговых стратегиях и интеграциях с vault, взаимодействиях, которые являются стандартными для того, как торговые фирмы подключаются к DeFi-протоколам.

В период между декабрем 2025 и январем 2026 группа подключила Ecosystem Vault на Drift, провела несколько рабочих сессий с участниками, внесла более $1 млн собственного капитала и выстроила работоспособное операционное присутствие внутри экосистемы.

Участники Drift встречались с людьми из этой группы лицом к лицу на нескольких крупных отраслевых конференциях в нескольких странах в течение февраля и марта. К моменту запуска атаки 1 апреля отношения были почти полугодовой давности.

Похоже, компрометация произошла по двум векторам.

Во втором был загружен TestFlight — платформа Apple для распространения предрелизных приложений, которая обходит проверку безопасности App Store; это приложение группа представила как свой продукт-кошелёк.

По вектору репозитория Drift указал на известную уязвимость в VSCode и Cursor — двух из самых широко используемых редакторов кода в разработке ПО. С позднего 2025 года сообщество по безопасности отмечало её: достаточно было просто открыть файл или папку в редакторе, чтобы бесшумно выполнить произвольный код без какого-либо запроса или предупреждения.

Как только устройства были скомпрометированы, злоумышленники получили всё необходимое, чтобы оформить два multisig-одобрения, которые позволили длительно выполняемую nonce-атаку, о которой CoinDesk подробно сообщал ранее на этой неделе. Эти предварительно подписанные транзакции пролежали бездействующими более недели, прежде чем были исполнены 1 апреля, что привело к выводу $270 млн из vault’ов протокола менее чем за минуту.

Атрибуция указывает на UNC4736 — северокорейскую группу, также отслеживаемую как AppleJeus или Citrine Sleet. Это основано как на данных о потоках средств on-chain, которые прослеживаются до атакующих Radiant Capital, так и на операционном совпадении с известными персонами, связанными с DPRK.

Однако люди, которые, как сообщается, появлялись лично на конференциях, не были гражданами Северной Кореи. Акторы угроз уровня DPRK, как известно, задействуют третьих лиц-посредников с полностью сформированными идентичностями, историями занятости и профессиональными сетями, рассчитанными на то, чтобы выдерживать due diligence.

Drift призвал другие протоколы провести аудит механизмов контроля доступа и относиться к любому устройству, взаимодействующему с multisig, как к потенциальной цели. Более широкая подоплёка неприятна для отрасли, которая полагается на multisig-управление как на свою основную модель безопасности.

Но если атакующие готовы потратить шесть месяцев и миллион долларов, чтобы построить легитимное присутствие внутри экосистемы, встречаться с командами лично, вкладывать реальные средства и ждать — тогда возникает вопрос: какая модель безопасности предназначена для того, чтобы это ловить.