Все новости крипты
в одном месте!
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Эксперты компаний Diverg, TRM Labs и Elliptic установили, что за масштабным взломом децентрализованного протокола Drift, в результате которого было похищено 280 миллионов долларов, стоит северокорейская хакерская группировка Lazarus, также известная как TraderTraitor. Эта же команда ранее ответственна за атаки на криптобиржу Bybit с ущербом в 1,5 миллиарда долларов и на игровую сеть Ronin, где были украдены 625 миллионов долларов.
Первоначальная версия разработчиков Drift о разовом компрометировании мультиподписи не подтвердилась. 27 марта протокол обновил правила Совета безопасности, установив требование двух подписей из пяти для подтверждения транзакций. Несмотря на это, уже через три дня злоумышленник сумел повторно взломать обновленную систему мультиподписи, использовав для этого механизм отложенного исполнения транзакций.
Подготовка к атаке началась 11 марта, когда хакер вывел 10 ETH через сервис Tornado Cash в 15:24 по времени Пхеньяна. Средства были перемещены через цепочку одноразовых кошельков и кроссчейн-мосты. На следующий день, 12 марта, на специальный адрес для эмиссии токенов поступило 50 SOL, что позволило злоумышленнику к 09:58 по корейскому времени создать 750 миллионов поддельных монет CVT. Аналогичные действия были проведены и в сети BSC, где через подписанную транзакцию из MetaWallet было зачислено 31,125 BNB.
Ранее сообщалось о трех транзакциях через Tornado Cash на общую сумму 30 ETH, но эксперты уточнили, что только одна из них, на 10 ETH, принадлежала атакующему. Остальные средства были направлены в сервис для отравления адресов.
После успешного взлома хакер приступил к выводу средств. Специалисты Diverg восстановили полную стратегию, которая осуществлялась через публичный API CoW Protocol. В течение 30 минут через веб-интерфейс CoW Swap злоумышленник разместил 10 ордеров, конвертировав 14,6 миллиона долларов в USDC и 99,8 WBTC примерно в 13 150 ETH. Все эти транзакции были подтверждены в блокчейне.
Вторичный кошелек-накопитель получил средства из двух источников: 390,86 ETH из Chainflip Vault и 846 000 USDC через протокол Circle CCTP, которые позже были конвертированы в 397 ETH. В итоге 788 ETH были отправлены на финальный удерживающий адрес.
Анализ поведения хакера показывает, что все его подтвержденные действия привязаны к рабочим часам в Пхеньяне и совершались исключительно в будние дни.
Используемые методы полностью соответствуют известному профилю Lazarus: подготовка через Tornado Cash, применение социальной инженерии, быстрый перевод средств через несколько блокчейнов и последующее удержание похищенных активов. Однако в данном случае злоумышленники применили новую тактику, выпустив фальшивые токены CVT и подменив данные оракула для искусственного завышения стоимости залога.
По данным аналитиков Elliptic, взлом Drift стал уже 18-й атакой группировки Lazarus с начала 2026 года.
Напомним, что в марте северокорейских хакеров также подозревали в атаке на криптовалютный интернет-магазин Bitrefill.
Популярные новости: