Взлом Drift Protocol: Северная Корея готовила операцию полгода

Северная Корея готовила взлом Drift полгода

1 апреля с Drift Protocol украли $285 млн — крупнейший DeFi-взлом 2026 года. Вся атака заняла 12 минут.

💻 За ней стоит группа, связанная с КНДР: те же, кто взломал Radiant Capital в 2024 году. Полгода они притворялись алготрейдинговой фирмой — через нанятых посредников знакомились с командой на конференциях в разных странах и вели технические переговоры. Они тщательно изучали инфраструктуру Drift Protocol, выявляя уязвимости не в коде, а в человеческом факторе и процессах. Такой подход, ориентированный на социальную инженерию, значительно усложняет обнаружение и противодействие атаке. Посредники, выступавшие в роли «алготрейдеров», активно участвовали в сообществах разработчиков DeFi, создавая видимость легитимности и получая доступ к закрытым чатам и форумам. Это позволило им лучше понять внутренние механизмы работы протокола и выявить слабые места в системе безопасности.

💸 Хакеры даже завели на платформу $1 млн своих денег, чтобы втереться в доверие. Потом поделились ссылками на «свои инструменты» с командой. Этот шаг был ключевым в стратегии. Вложение реальных средств демонстрировало заинтересованность и внушало доверие. «Инструменты», которые они предлагали, на самом деле содержали вредоносное ПО, которое было внедрено в инфраструктуру проекта. Эти «инструменты» могли выглядеть как библиотеки для оптимизации торговли, инструменты для анализа рынка или даже просто полезные утилиты для разработчиков. Цель состояла в том, чтобы убедить сотрудников установить их на свои рабочие устройства.

Заразив устройства сотрудников, хакеры получили доступ к подписям людей из управляющего совета проекта. Через эти подписи они создали скрытые транзакции на передачу контроля над протоколом. Пара кликов и средства пользователей у них 💰. Получив доступ к подписям, хакеры смогли манипулировать параметрами безопасности и перенаправить средства пользователей на свои кошельки. Сложность атаки заключалась в том, что все транзакции выглядели легитимными, так как они были подписаны доверенными лицами. Это подчеркивает важность многофакторной аутентификации и строгого контроля доступа к приватным ключам. Анализ транзакций показал, что хакеры использовали сложные методы обфускации, чтобы скрыть следы и затруднить отслеживание украденных средств. Они дробили крупные суммы на мелкие транзакции, перенаправляя их через различные миксеры криптовалют и биржи, что делало процесс восстановления средств крайне сложным.

В общем, аудиты кода никак не помогли бы от такого вектора атаки… Классические аудиты безопасности, направленные на выявление уязвимостей в коде, оказались бессильны против атаки, ориентированной на социальную инженерию и компрометацию внутренних процессов. Это подчеркивает необходимость комплексного подхода к безопасности, который включает в себя не только аудит кода, но и обучение персонала, внедрение строгих политик безопасности и регулярные проверки на проникновение, имитирующие реальные атаки. Необходимо уделять больше внимания защите от фишинга, социальной инженерии и другим методам, направленным на обман и манипулирование людьми. Также важно внедрять системы мониторинга аномальной активности и реагирования на инциденты, чтобы быстро обнаруживать и нейтрализовать подобные атаки.