Drift раскрыла детали взлома на $280 млн: атака готовилась полгода и связана с КНДР

Drift потеряла около $280 млн в результате атаки 1 апреля 2026 года. Злоумышленники действовали через многомесячную социальную инженерию и вредоносное ПО. Среди возможных векторов — компрометация через репозиторий кода и приложение в TestFlight. К инциденту могут быть причастны связанные с КНДР акторы, в частности группа UNC4736. Децентрализованная биржа Drift сообщила детали атаки, в результате которой из протокола вывели около $280 млн. Инцидент произошел 1 апреля 2026 года. Команда приостановила работу части функций, удалила скомпрометированные кошельки из мультисигa и пометила адреса злоумышленников на централизованных биржах и у провайдеров мостов. К расследованию привлекли компанию Mandiant. Drift также сотрудничает с правоохранительными органами и судебно-криминалистическими партнерами. Как готовилась атака? По предварительным данным, атака стала результатом длительной операции социальной инженерии. Ее подготовка длилась около шести месяцев. В заявлении говорится, что осенью 2025 года группа лиц представилась количественной трейдинговой компанией и установила контакт с контрибьюторами Drift на отраслевых конференциях. Далее они: поддерживали регулярную коммуникацию через Telegram; обсуждали торговые стратегии; внесли более $1 млн собственного капитала; участвовали в рабочих сессиях и демонстрировали техническую экспертизу. Злоумышленники системно выстраивали доверие. Они лично встречались с участниками команды на нескольких конференциях и создали полноценное присутствие в экосистеме проекта. Основные векторы компрометации и причастность КНДР Команда Drift выделила несколько вероятных сценариев проникновения: компрометация через клонирование репозитория, который содержал вредоносный код; установка приложения через TestFlight под видом криптокошелька; использование уязвимостей в редакторах кода, в частности VSCode и Cursor. Последний сценарий предполагает возможность выполнения произвольного кода при открытии файла или репозитория без дополнительных подтверждений пользователя. После атаки злоумышленники удалили Telegram-чаты и следы вредоносного ПО. По оценкам команды SEALS 911 и компании Mandiant, со средне-высокой уверенностью атаку связывают с группой UNC4736. Она также известна как AppleJeus или Citrine Sleet и, по данным исследователей, имеет связи с Северной Кореей. Напомним, ранее команда Incrypted разобралась в схеме атаки, которую использовал хакер, а также изучила обстоятельства дела и реакцию экспертов: Украсть за 60 секунд: как хакер взломал Drift Protocol на $280 млн и шокировал DeFi-рынок 02.04.2026 Читать Сообщение Drift раскрыла детали взлома на $280 млн: атака готовилась полгода и связана с КНДР появились сначала на INCRYPTED.

Также в нашем канале находится аналитика по крипторынку и полезные инструменты. Переходите и получайте пользу — https://t.me/+yQOMhpB3Svo4NTQ1