Drift связывает хак на $280 млн с подозреваемыми северокорейскими актерами

Команда Drift Protocol поделилась новыми деталями о недавнем взломе на $280 миллионов. Атака, произошедшая 1 апреля, теперь кажется гораздо более сложной, чем предполагалось изначально. Согласно последнему обновлению, инцидент не был внезапным или случайным. Это была часть долгосрочной и тщательно спланированной операции. 

🚨UPDATE: ХАК DRIFT НА $280M БЫЛ ШЕСТИМЕСЯЧНОЙ ОПЕРАЦИЕЙ СОЦИАЛЬНОГО ИНЖИНИРИНГА СЕВЕРОКОРЕЙЦЕВ

Drift Protocol (@DriftProtocol) раскрыл, что взлом 1 апреля, в результате которого было похищено $280 миллионов с биржи perpetuals на базе Solana, не был случайной атакой. Это было результатом… pic.twitter.com/aRqK1yagbH

— BSCN (@BSCNews) 6 апреля 2026

Команда считает, что атака может быть связана с группой, ассоциированной с Северной Кореей. Следователи описывают это как «структурированную разведывательную операцию». На это, вероятно, потребовались месяцы планирования, координации и исполнения.

Шестимесячная подготовка

Расследование показывает, что злоумышленники начали свою работу еще в конце 2025 года. В это время они обращались к участникам Drift Protocol, выдавая себя за торговую компанию. Они встречались с членами команды на крупных крипто-мероприятиях в разных странах. Со временем они завоевали доверие через повторные встречи и технические обсуждения.

Группа выглядела профессионально и хорошо подготовленной. Они делились идеями, обсуждали стратегии и даже вносили средства в протокол. На первый взгляд они не вызывали подозрений. Скорее, они выглядели как обычные партнеры, присоединяющиеся к экосистеме.

Как развивалась атака?

На протяжении нескольких месяцев злоумышленники получили более глубокий доступ. Они взаимодействовали с участниками через чаты и делились инструментами. В некоторых случаях они отправляли ссылки на репозитории кода и приложения. Это казалось частью продолжающегося сотрудничества.

Но следователи теперь считают, что злоумышленники могли использовать эти инструменты для компрометации устройств. Получив доступ, они подготовили свой следующий шаг. 1 апреля они быстро реализовали план. Эти операции часто используют посредников для создания доверия. Злоумышленники использовали заранее одобренные разрешения, чтобы взять под контроль ключевые системы. Затем они удалили средства защиты и вывели средства из протокола. В течение короткого времени было похищено около $280 миллионов.

Связи с известными группами угроз

Предварительные результаты указывают на возможную связь с известной группой, связанной с Северной Кореей. Эта группа была связана с прошлыми крипто-атаками. Связь основана на данных блокчейна и схожих тактиках, использованных в предыдущих инцидентах. Следователи отметили совпадения в поведении и схемах движения средств.

Однако атрибуция пока не полностью подтверждена. Текущая судебно-медицинская работа все еще продолжается. Также важно отметить, что люди, которые взаимодействовали с командой лично, вероятно, не были прямыми участниками. Эти операции часто используют посредников для создания доверия.

Что будет дальше?

После атаки Drift предпринял несколько шагов для ограничения ущерба. Платформа заморозила ключевые функции и убрала скомпрометированный доступ. В то время как команда Drift Protocol работает с экспертами по безопасности и правоохранительными органами. Их цель — отследить похищенные средства и понять полный масштаб утечки.

Этот инцидент подчеркивает растущий риск в криптоиндустрии. Не все атаки нацелены на код. Некоторые нацелены на людей. В данном случае доверие использовалось как точка входа. Злоумышленники потратили месяцы на построение отношений перед тем, как действовать. В результате это событие служит предупреждением. Даже опытные команды должны оставаться бдительными. В современных условиях безопасность выходит за рамки технологий. Она также зависит от человеческой оценки и осторожности.