- Автор темы
- #1
Drift Protocol потерял 285 млн долларов в результате атаки северокорейских хакеров, которая готовилась более полугода. Злоумышленники из группировки UNC4736 провели масштабную операцию с использованием социальной инженерии, выстраивая доверительные отношения с контрибьюторами проекта начиная с осени 2025 года.
Drift Protocol представляет собой DeFi-платформу на блокчейне Solana, работающую как некастодиальная биржа, где трейдеры сохраняют полный контроль над своими средствами. По состоянию на конец 2024 года платформа насчитывала 200 000 трейдеров, а совокупный объем торгов превышал 55 млрд долларов.
Согласно заявлению Drift, подготовка к атаке началась еще 11 марта. Тогда злоумышленники вывели 10 ETH из Tornado Cash и на эти средства создали полностью фиктивный токен CarbonVote Token (CVT) — 750 млн единиц. На децентрализованной бирже Raydium хакеры создали пул ликвидности, добавив в него всего 500 долларов, и на протяжении нескольких недель накручивали объемы с помощью wash-трейдинга (фейковых сделок с самими собой), искусственно удерживая цену CVT около 1 доллара. Ценовые оракулы Drift приняли эту историю торгов за реальную и начали воспринимать CVT как легитимный актив.
Параллельно, с 23 по 30 марта, атакующие создали durable nonce-аккаунты. Durable nonce — это легитимный механизм Solana, который позволяет подписать транзакцию заранее и исполнить ее позже, минуя стандартное окно экспирации (обычно 60-90 секунд).
С помощью социальной инженерии хакеры убедили двух из пяти членов Security Council подписать транзакции, которые выглядели рутинными, — этого хватало для преодоления порога мультиподписи.
Критическую роль сыграл и тот факт, что 27 марта в Drift провели плановую миграцию Security Council и убрали timelock — задержку на исполнение административных действий, которая обычно дает сообществу 24-72 часа на обнаружение подозрительной активности.
1 апреля все перечисленное выше сработало вместе. Сначала был произведен тестовый вывод, а через минуту атакующие запустили заранее подписанные durable nonce-транзакции и перехватили административный контроль.
Получив привилегии, они добавили CVT в качестве допустимого залогового актива в Drift, подняли лимиты вывода до огромных значений (500 трлн — фактически отключив защиту) и внесли сотни миллионов токенов CVT в качестве залога. На основании сфабрикованной оракулами цены этот залог выглядел ценным, и хакеры вывели реальные активы, включая USDC, JLP и другие токены, использовав 31 транзакцию, на что ушло всего 12 минут.
По оценкам Drift, итоговые потери составили около 280 млн долларов, хотя блокчейн-аналитики PeckShield оценивают ущерб в 285 млн долларов.
При этом в Drift подчеркивают, что уязвимостей в смарт-контрактах или программном коде платформы обнаружено не было, а seed-фразы скомпрометированы не были.
Вскоре специалисты компаний Elliptic и TRM Labs связали эту атаку с хакерами из КНДР на основе ончейн-индикаторов: использование Tornado Cash, паттерны кросс-чейн бриджинга и быстрое отмывание средств, характерные для северокорейских группировок.
Ответственность за этот инцидент эксперты с умеренной степенью уверенности возлагают на UNC4736 (она же AppleJeus, Citrine Sleet, Golden Chollima и Gleaming Pisces). Эта хак-группа атакует криптовалютный сектор как минимум с 2018 года и наиболее известна по атаке на цепочку поставок 3CX в 2023 году и взлому DeFi-платформы Radiant Capital на 53 млн долларов в октябре 2024 года.
Также уже известны подробности атак с применением социальной инженерии, которые хакеры вели с осени 2025 года. Представляясь сотрудниками трейдинговой компании, злоумышленники выходили на контакт с контрибьюторами Drift на крупных криптоконференциях. Они были технически подкованы, имели профессиональный бэкграунд, который можно было проверить, и хорошо разбирались в устройстве Drift. После знакомства общение продолжалось в Telegram — месяцы предметных разговоров о торговых стратегиях и интеграции с протоколом.
В итоге расследование выявило два вероятных вектора компрометации. Так, один из контрибьюторов мог быть скомпрометирован после клонирования репозитория с кодом, предоставленного злоумышленниками. Вредоносный проект Visual Studio Code использовал файл tasks.json с опцией runOn: folderOpen — при открытии проекта в IDE автоматически запускался вредоносный код.
Второй контрибьютор установил некий кошелек через Apple TestFlight, якобы для бета-тестирования.
В результате атаки пострадали депозиты borrow/lend, средства в хранилищах и торговые фонды. В настоящее время все функции протокола заморожены, хотя в Drift отмечают, что DSOL не затронут, а средства страхового фонда защищены.
Разработчики сотрудничают с привлеченными ИБ-экспертами, криптовалютными биржами и правоохранительными органами, чтобы отследить и заморозить украденные средства. Более детальный отчет об инциденте будет опубликован в ближайшие дни.
Drift Protocol представляет собой DeFi-платформу на блокчейне Solana, работающую как некастодиальная биржа, где трейдеры сохраняют полный контроль над своими средствами. По состоянию на конец 2024 года платформа насчитывала 200 000 трейдеров, а совокупный объем торгов превышал 55 млрд долларов.
Согласно заявлению Drift, подготовка к атаке началась еще 11 марта. Тогда злоумышленники вывели 10 ETH из Tornado Cash и на эти средства создали полностью фиктивный токен CarbonVote Token (CVT) — 750 млн единиц. На децентрализованной бирже Raydium хакеры создали пул ликвидности, добавив в него всего 500 долларов, и на протяжении нескольких недель накручивали объемы с помощью wash-трейдинга (фейковых сделок с самими собой), искусственно удерживая цену CVT около 1 доллара. Ценовые оракулы Drift приняли эту историю торгов за реальную и начали воспринимать CVT как легитимный актив.
Параллельно, с 23 по 30 марта, атакующие создали durable nonce-аккаунты. Durable nonce — это легитимный механизм Solana, который позволяет подписать транзакцию заранее и исполнить ее позже, минуя стандартное окно экспирации (обычно 60-90 секунд).
С помощью социальной инженерии хакеры убедили двух из пяти членов Security Council подписать транзакции, которые выглядели рутинными, — этого хватало для преодоления порога мультиподписи.
Критическую роль сыграл и тот факт, что 27 марта в Drift провели плановую миграцию Security Council и убрали timelock — задержку на исполнение административных действий, которая обычно дает сообществу 24-72 часа на обнаружение подозрительной активности.
1 апреля все перечисленное выше сработало вместе. Сначала был произведен тестовый вывод, а через минуту атакующие запустили заранее подписанные durable nonce-транзакции и перехватили административный контроль.
Получив привилегии, они добавили CVT в качестве допустимого залогового актива в Drift, подняли лимиты вывода до огромных значений (500 трлн — фактически отключив защиту) и внесли сотни миллионов токенов CVT в качестве залога. На основании сфабрикованной оракулами цены этот залог выглядел ценным, и хакеры вывели реальные активы, включая USDC, JLP и другие токены, использовав 31 транзакцию, на что ушло всего 12 минут.
По оценкам Drift, итоговые потери составили около 280 млн долларов, хотя блокчейн-аналитики PeckShield оценивают ущерб в 285 млн долларов.
При этом в Drift подчеркивают, что уязвимостей в смарт-контрактах или программном коде платформы обнаружено не было, а seed-фразы скомпрометированы не были.
Вскоре специалисты компаний Elliptic и TRM Labs связали эту атаку с хакерами из КНДР на основе ончейн-индикаторов: использование Tornado Cash, паттерны кросс-чейн бриджинга и быстрое отмывание средств, характерные для северокорейских группировок.
Ответственность за этот инцидент эксперты с умеренной степенью уверенности возлагают на UNC4736 (она же AppleJeus, Citrine Sleet, Golden Chollima и Gleaming Pisces). Эта хак-группа атакует криптовалютный сектор как минимум с 2018 года и наиболее известна по атаке на цепочку поставок 3CX в 2023 году и взлому DeFi-платформы Radiant Capital на 53 млн долларов в октябре 2024 года.
Также уже известны подробности атак с применением социальной инженерии, которые хакеры вели с осени 2025 года. Представляясь сотрудниками трейдинговой компании, злоумышленники выходили на контакт с контрибьюторами Drift на крупных криптоконференциях. Они были технически подкованы, имели профессиональный бэкграунд, который можно было проверить, и хорошо разбирались в устройстве Drift. После знакомства общение продолжалось в Telegram — месяцы предметных разговоров о торговых стратегиях и интеграции с протоколом.
В период с декабря 2025 по январь 2026 года группировка развернула в Drift собственный Ecosystem Vault, заполнила форму с описанием стратегии и внесла более 1 млн долларов собственных средств. Все ради того, чтобы укрепить доверие и закрепиться внутри экосистемы. Подставные лица продолжали общение с контрибьюторами вплоть до самого момента атаки.
В итоге расследование выявило два вероятных вектора компрометации. Так, один из контрибьюторов мог быть скомпрометирован после клонирования репозитория с кодом, предоставленного злоумышленниками. Вредоносный проект Visual Studio Code использовал файл tasks.json с опцией runOn: folderOpen — при открытии проекта в IDE автоматически запускался вредоносный код.
Второй контрибьютор установил некий кошелек через Apple TestFlight, якобы для бета-тестирования.
В результате атаки пострадали депозиты borrow/lend, средства в хранилищах и торговые фонды. В настоящее время все функции протокола заморожены, хотя в Drift отмечают, что DSOL не затронут, а средства страхового фонда защищены.
Разработчики сотрудничают с привлеченными ИБ-экспертами, криптовалютными биржами и правоохранительными органами, чтобы отследить и заморозить украденные средства. Более детальный отчет об инциденте будет опубликован в ближайшие дни.