#DriftProtocolHacked

Оглашение о государственной разведывательной операции на сумму $285 миллионов, замаскированной под рукопожатие на криптоконференции. Индустрия потрясена одним из самых изощренных DeFi-атак, когда-либо зафиксированных.

Масштаб нарушения

Drift Protocol, крупнейшая биржа бессрочных фьючерсов на Solana, была обкрадена примерно на **$285 миллионов 1 апреля 2026 года**. Атака не была связана с уязвимостью смарт-контракта или украденным ключом, а стала результатом **шестимесячной операции социальной инженерии**, организованной группой **UNC4736 (Citrine Sleet/AppleJeus)**, связанной с государством и ассоциируемой с Северной Кореей. Chainalysis заявил, что если это подтвердится, то криптоворованные средства, связанные с Северной Кореей, достигнут как минимум $10,58 трлн по всему миру. Масштаб операции ошеломляющий: группа создала фальшивую идентичность фирмы по количественной торговле, внесла более $1 миллионов своих реальных средств и лично встречалась с участниками Drift на конференциях в нескольких странах, прежде чем нанести удар.

---

Анатомия государственной атаки

Злоумышленники начали свою операцию осенью 2025 года на крупной криптоконференции, выдавая себя за представителей фирмы по количественной торговле. Далее последовала тщательная, терпеливая кампания по завоеванию доверия, продолжавшаяся примерно полгода.

· Этап внедрения: к декабрю 2025 и январю 2026 года группа зарегистрировала Ecosystem Vault на Drift, представила стратегическую документацию, участвовала в нескольких рабочих сессиях с участниками и внесла более $1 миллионов своих средств. Drift описал это поведение как полностью соответствующее тому, как легитимные торговые фирмы обычно интегрируются с протоколом.
· Человеческий уровень: в течение февраля и марта 2026 года участники Drift встречались с членами группы лично на нескольких крупных отраслевых конференциях в разных странах. К моменту начала атаки это уже были не незнакомцы, а установленные деловые партнеры с почти шестимесячными отношениями.
· Технические векторы: после установления доверия группа запустила двухстороннюю атаку: одна использовала вредоносное приложение TestFlight (платформы распространения предварительных версий приложений Apple, которое обходило проверку App Store), представляясь их кошельком; другая использовала известную уязвимость в VSCode и Cursor, когда простое открытие файла или папки было достаточно для тихого выполнения произвольного кода без предупреждения или запроса.

---

Исполнение: функция Solana, превращенная в оружие

Злоумышленники использовали легитимную функцию Solana под названием "долговечные несы", которая позволяет предварительно подписывать транзакции и делать их действительными бесконечно долго. Обманув двух из пяти подписантов мультисиг-контроля Совета безопасности Drift, злоумышленники получили предварительно подписанные одобрения, которые оставались неактивными более недели. 1 апреля они выполнили эти предварительно подписанные транзакции, получив административные полномочия на уровне протокола менее чем за минуту.

---

Последствия: падение рынка и реакция сообщества

Мгновенный эффект был разрушительным:

· Обвал TVL: общий заблокированный объем Drift упал с примерно $550 миллионов до менее $250 миллионов за одно утро, что составляет снижение более чем на 53%.
· Обвал токена: токен DRIFT упал до 45% в течение нескольких часов, достигнув примерно $0.04–$0.05.
· Влияние на экосистему: как минимум 20 других проектов, связанных с ликвидностью или стратегиями Drift, приостановили работу или оценили убытки.
· Круг под огнем: аналитик ZachXBT раскритиковал Circle за неспособность заморозить украденный USDC во время атаки, поскольку злоумышленник использовал собственный Cross-Chain Transfer Protocol (CCTP) Circle для перевода примерно $232 миллионов USDC с Solana на Ethereum без вмешательства.

---

Юридические и безопасностьные последствия

Адвокат по криптовалютам Ариэль Гивнер заявил, что инцидент может квалифицироваться как "гражданская небрежность", поскольку команда Drift не соблюдала основные меры безопасности — в том числе хранение ключей для подписи на отдельных, изолированных системах и проведение должной проверки разработчиков, встреченных на отраслевых конференциях. Уже циркулируют объявления о возможных коллективных исках против Drift Protocol. В ответ на это Фонд Solana и компания Asymmetric Research запустили программу безопасности STRIDE 6 апреля 2026 года, предоставляющую формальную проверку и мониторинг угроз для DeFi-протоколов на Solana.

---

Новая эра угроз в DeFi

Эта атака представляет собой фундаментальное эскалационное развитие в ландшафте угроз. Это не было уязвимостью кода — это была структурированная разведывательная операция, требующая организационной поддержки, значительных ресурсов и месяцев целенаправленной подготовки. Злоумышленники не просто создавали фальшивые профили в LinkedIn; они развернули посредников с полностью сформированными личностями, проверяемой историей занятости и профессиональными связями, способными выдержать реальную проверку. Как отметил один специалист по безопасности: "Если злоумышленники действуют как настоящая организация в течение шести месяцев, инвестируют средства и участвуют в экосистеме, их практически невозможно обнаружить с помощью существующих систем безопасности".

#DeFiHack #NorthKoreaCrypto #DriftProtocol #CryptoSecurity