Все новости крипты
в одном месте!
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Хакерское нападение на Drift Protocol представляло собой тщательно спланированную операцию по внедрению, для которой потребовалась поддержка организации, существенные ресурсы и несколько месяцев подготовки.
По заявлению команды проекта, за инцидент 1 апреля, в результате которого было похищено около 280 миллионов долларов, ответственность несет группировка из Северной Кореи. На планирование и осуществление атаки злоумышленники потратили шесть месяцев.
Внедрение
Представители Drift сообщили, что осенью 2025 года на одной из отраслевых конференций к ним обратились люди, представившиеся сотрудниками неназванной торговой фирмы и выразившие заинтересованность в интеграции с протоколом.
Как стало известно, преступники целенаправленно выявляли участников проекта и завоевывали их доверие.
Они обладали техническими знаниями, имели подтвержденный профессиональный опыт и были хорошо осведомлены о принципах работы Drift. После первой встречи была создана группа в Telegram, за которой последовали месяцы содержательных дискуссий о торговых стратегиях и потенциальном подключении хранилища, отметила команда.
Затем фиктивная компания начала подключать собственные хранилища к Drift, для чего потребовалось заполнить форму с детальным описанием стратегии. Кроме того, они инвестировали в экосистему более миллиона долларов собственных средств.
Активное общение между разработчиками и злоумышленниками продолжалось примерно до конца марта. После атаки все общие чаты и контакты были удалены.
Это были не случайные люди, а лица, с которыми участники проекта работали и встречались лично. На протяжении всего процесса распространялись ссылки на различные проекты, инструменты и приложения, подчеркнули в Drift.
Механизмы взлома
Как сообщалось ранее, хакеры получили доступ к депозитарным хранилищам, создав поддельные отложенные подписи. Сейчас команда выделила три вероятных вектора атаки:
1. Один из сотрудников мог стать жертвой взлома после клонирования репозитория кода под видом развертывания интерфейса для хранилища.
2. Другого участника проекта убедили загрузить вредоносное приложение TestFlight, которое было представлено как криптокошелек.
3. В репозиториях, предположительно, существовала уязвимость, позволявшая через простое открытие файла, папки или документа в редакторе незаметно выполнить произвольный код.
В Drift продолжают криминалистический анализ затронутого оборудования. В расследовании помогают специалисты SEALS 911 и правоохранительные органы.
Официальный источник уязвимости пока не установлен. Работа протокола остается приостановленной.
Конкретный виновник
Данные, полученные в ходе расследования, позволили связать атаку с группировкой UNC4736 — северокорейской государственной структурой, также известной как AppleJeus или Citrine Sleet.
Эти же преступники, предположительно, стояли за взломом Radiant Capital на сумму свыше 50 миллионов долларов в октябре 2024 года. Их удалось отследить по ончейн-данным, указавшим на общие денежные потоки, а также по связанным с ними реальным личностям.
Для внедрения в Drift преступники предоставили полностью сфабрикованные данные, включая историю трудоустройства, личную информацию и профессиональные контакты.
Важно отметить, что лица, встречавшиеся с представителями Drift, не являлись гражданами Северной Кореи. Известно, что северокорейские хакеры, действующие на этом уровне, часто используют посредников для установления личных контактов, отметили в компании.
Напомним, что в марте группировку из КНДР также подозревали в атаке на криптовалютный интернет-магазин Bitrefill.
Популярные новости: