Drift Protocol (DRIFT) опублікував детальне оновлення інциденту 5 квітня, розкривши, що злом на $285 мільйонів 1 квітня став результатом шестимісячної розвідувальної операції, яка приписується акторам, які підтримуються державою Північної Кореї.
Розкриття описує рівень соціальної інженерії, який виходить далеко за межі типових фішингових або рекрутерських схем, включаючи особисті зустрічі, розгортання реального капіталу та місяці побудови довіри.
Фальшива торгова фірма, яка грала довгу гру
Згідно з Drift, група, що видавала себе за кількісну торгову фірму, вперше звернулася до учасників на великій криптовалютній конференції восени 2025 року.
Протягом наступних місяців ці особи з'являлися на численних заходах у кількох країнах, проводили робочі сесії та підтримували постійні розмови в Telegram про інтеграцію сховищ.
Слідкуйте за нами в X, щоб отримувати останні новини в режимі реального часу
Між груднем 2025 року та січнем 2026 року група підключила Ecosystem Vault на Drift, внесла понад $1 мільйон капіталу та брала участь у детальних обговореннях продукту.
До березня учасники Drift зустрічалися з цими особами особисто кілька разів.
Навіть експерти з веб-безпеки вважають це занепокоєнням, дослідниця Тей поділилася, що спочатку очікувала типову рекрутерську схему, але виявила, що глибина операції набагато більш тривожна.
Як були скомпрометовані пристрої
Drift визначив три ймовірні вектори атаки:
- Один учасник клонував репозиторій коду, який група поділилася для фронтенду сховища.
- Другий завантажив додаток TestFlight, представлений як продукт гаманця.
- Для вектора репозиторію Drift вказав на відому вразливість VSCode та Cursor, на яку дослідники безпеки вказували з кінця 2025 року.
Ця вразливість дозволяла виконувати довільний код безшумно в момент відкриття файлу чи папки в редакторі без необхідності взаємодії з користувачем.
Після відтоку 1 квітня зловмисники видалили всі чати в Telegram та шкідливе програмне забезпечення. Drift відтоді заморозив функції протоколу, що залишилися, та видалив скомпрометовані гаманці з мультипідпису.
Команда SEALS 911 оцінила з середньо-високою впевненістю, що ті самі загрозливі актори здійснили злом Radiant Capital у жовтні 2024 року, який Mandiant приписав UNC4736.
Потоки коштів ончейн та операційні перетини між двома кампаніями підтверджують цей зв'язок.
Індустрія закликає до скидання безпеки
Армані Ферранте, відомий розробник Solana, закликав кожну криптовалютну команду призупинити зусилля зростання та перевірити весь їхній стек безпеки.
Drift зазначив, що особи, які з'явилися особисто, не були громадянами Північної Кореї. Відомо, що загрозливі актори КНДР на цьому рівні використовують сторонніх посередників для особистих зустрічей.
Mandiant, якого Drift залучив для криміналістичної експертизи пристроїв, поки що офіційно не приписав експлойт.
Розкриття служить попередженням для ширшої екосистеми. Drift закликав команди перевірити контроль доступу, розглядати кожен пристрій, який стосується мультипідпису, як потенційну мішень, і зв'язатися з SEAL 911, якщо вони підозрюють подібне націлювання.
Пост Drift Protocol's $285 Million Heist Started With a Handshake and 6 Months of Trust вперше з'явився на BeInCrypto.
Джерело: https://beincrypto.com/drift-north-korea-spy-operation-hack/
