" 6-месячная разведывательная операция предшествовала эксплойту Drift Protocol стоимостью 270 000 000 долларов и была проведена северокорейской государственной группой, согласно подробному отчету об инциденте, опубликованному командой в воскресенье.
Злоумышленники впервые вступили в контакт осенью 2025 года на крупной конференции по криптовалютам, представившись фирмой, занимающейся количественной торговлей и стремящейся интегрироваться с Drift.
По словам Drift, они свободно владели техническими знаниями, имели поддающийся проверке профессиональный опыт и понимали, как работает протокол. Была создана группа Telegram, и за этим последовали месяцы предметных разговоров о торговых стратегиях и интеграции хранилищ, взаимодействия, которые являются стандартными для того, как торговые фирмы внедряют протоколы DeFi.
В период с декабря 2025 года по январь 2026 года группа создала Ecosystem Vault на Drift, провела несколько рабочих сессий с участниками, вложила более 1 000 000 долларов собственного капитала и создала функционирующее оперативное присутствие внутри экосистемы.
Участники Drift встречались с представителями группы лично на нескольких крупных отраслевых конференциях в нескольких странах в течение февраля и марта. К моменту начала атаки 1 апреля отношениям было уже почти полгода.
Судя по всему, компромисс был достигнут по двум векторам.
Было загружено приложение TestFlight, платформа Apple для распространения предварительных версий приложений, минующее проверку безопасности App Store, которое группа представила как свой кошелек.
Что касается вектора репозитория, Drift указал на известную уязвимость в VSCode и Cursor, двух наиболее широко используемых редакторах кода при разработке программного обеспечения, которую сообщество безопасности отмечало с конца 2025 года, когда простого открытия файла или папки в редакторе было достаточно для бесшумного выполнения произвольного кода без каких-либо подсказок или предупреждений.
После того, как устройства были скомпрометированы, злоумышленники получили все необходимое для наличия двух разрешений с мультиподписью, которые позволили провести надежную nonce-атаку, подробно описанную CoinDesk ранее на этой неделе. Эти заранее подписанные транзакции бездействовали более недели, прежде чем были выполнены 1 апреля, в результате чего из хранилищ протокола было украдено 270 000 000 долларов менее чем за минуту.
Атрибуция указывает на UNC4736, северокорейскую государственную группу, также отслеживаемую как AppleJeus или Citrine Sleet, на основании как потоков средств в блокчейне, восходящих к злоумышленникам Radiant Capital, так и оперативного дублирования с известными личностями, связанными с КНДР.
Однако лица, которые присутствовали на конференциях, не были гражданами Северной Кореи. Известно, что на этом уровне субъекты угроз КНДР используют сторонних посредников с полностью установленными личностями, историей трудоустройства и профессиональными сетями, созданными для того, чтобы выдержать проверку.
Drift призвал другие протоколы проверять контроль доступа и рассматривать каждое устройство, касающееся мультиподписи, как потенциальную цель. Более широкий смысл неудобен для отрасли, которая полагается на управление с несколькими подписями в качестве основной модели безопасности.
Но если злоумышленники готовы потратить 6 месяцев и 1 000 000 долларов на создание законного присутствия внутри экосистемы, лично встретиться с командами, внести реальный капитал и подождать, вопрос в том, какая модель безопасности предназначена для того, чтобы это отследить.
