Протокол Drift зазнав крадіжки на 285 млн доларів: хакери з Північної Кореї підготувалися протягом 6 місяців і використали Durable Nonce, щоб обійти багато підписів

Solana-мережі відомий дерайвативний протокол Drift Protocol 1 квітня зазнав хакерської атаки, збитки становили близько 285M доларів США; загальний обсяг заблокованих коштів (TVL), що був приблизно 550M доларів США до інциденту, після події різко впав приблизно до 230M доларів США. Команда Drift згодом опублікувала детальний звіт розслідування, який розкриває, що це була атака з соціальною інженерією, яка тривала 6 місяців і мала підтримку ресурсів державного рівня.

6 місяців приховування: від криптовалютної конференції до репозиторію коду

Згідно з розслідуванням Drift, атакувальники почали розгортати свої дії ще восени 2025 року. Вони видавали себе за легальну кількісну трейдинг-компанію, налагоджували контакти з учасниками Drift на кількох криптовалютних конференціях і вибудовували відносини, які виглядали цілком реальними та професійними. Під час тривалого 6-місячного проникнення атакувальники:

створили Telegram-групу, щоб обговорювати з командою Drift торговельні стратегії

для підвищення довіри розмістили у Vault екосистеми реальні кошти (понад 1 млн доларів США)

провели кілька робочих зустрічей у різних країнах

У підсумку потенційне проникнення могло бути здійснене через два канали: один з учасників скопіював репозиторій коду, який потенційно можна було використати з відомою вразливістю у VSCode/Cursor; а інший учасник завантажив TestFlight App, який атакувальники представили як «продукт для гаманця».

Технічні прийоми: Durable Nonce для попередньо підписаних транзакцій в обхід мультипідпису

Технічно атакувальники використали механізм облікового запису «Durable Nonce» у Solana — функцію, яка дозволяє заздалегідь підписувати транзакції та відкладати їх виконання. Зловмисники скористалися цим, щоб заздалегідь підготувати підписи для всіх шкідливих транзакцій, а після отримання достатніх дозволів миттєво їх виконали, залишивши захисній стороні мінімум часу на реакцію.

Атакувальники швидко отримали керування безпековим комітетом Drift, а потім спорожнили відповідні активи. У подальшому Drift підкреслив, що всі учасники мультипідпису використовували холодні гаманці, але це все одно не змогло зупинити атаку, демонструючи: «Коли атака фіксується на людському рівні, навіть суворий контроль з боку апаратних засобів може бути обійдений».

Наводить на Північну Корею UNC4736: з тією самою групою, що й атакувала Radiant Capital

Drift заявив, що з «високим ступенем довіри» атаку приписують UNC4736 (також відомій як Citrine Sleet, AppleJeus) — групі хакерів, яка пов’язана з урядом Північної Кореї. У розслідуванні зазначено, що патерн події дуже добре збігається з атакою, яка в жовтні 2024 року призвела до втрати Radiant Capital 58.00 млн доларів США, і припускають, що за цим стоїть та сама група виконавців.

Критика Circle: чому не вдалося негайно заморозити вкрадений USDC?

Після атаки ще один дискусійний фокус — швидкість реакції Circle. За даними PeckShield, атакувальники викрали з Drift близько 71.00 млн доларів США у USDC, а після конвертації інших викрадених активів у USDC через кросчейн-угоду Circle (CCTP) перекинули приблизно 232.00 млн доларів США USDC із Solana в мережу Ethereum, суттєво підвищивши складність повернення коштів.

Відомий ончейн-дослідник ZachXBT розкритикував дії Circle надто повільними та вказав на іронічне порівняння: саме того дня, коли атакувальники налаштовували обліковий запис Durable Nonce (23 березня), Circle заморозив 16 комерційних гарячих гаманців за лічені хвилини — причиною була американська цивільна позовна справа, але попри це не було такої ж оперативної реакції на DeFi-атаку, що мала масштаб набагато більший за 9-значні суми.

Відповідь Circle була такою: «Circle — регульована компанія; вона працює належним чином відповідно до вимог санкцій, наказів правоохоронних органів і рішень суду. Ми заморожуємо активи у випадках, коли цього вимагає закон, щоб дотримуватися принципів верховенства права та захищати права й приватність користувачів». Юридичний радник Plume натомість закликав законодавчі органи створити механізм «safe harbor», щоб емітенти стейблкоїнів могли заморожувати активи, якщо є розумні підстави вважати, що кошти можуть бути пов’язані з незаконною діяльністю, не несучи цивільної відповідальності.

Попередження для індустрії DeFi

Оголошення Drift спричинило значну увагу в галузі. Ця атака чітко показує, що державні хакерські угруповання здійснюють тривалі на термін у кілька місяців дії з людського інтелекту (HUMINT) проти DeFi-протоколів, а не спираються лише на технічні вразливості. Ключові уроки включають: не копіювати зовнішні репозиторії на машини, де зберігаються production-ключі або мультипідписи; не встановлювати сторонні застосунки або відкривати невідомі посилання; ізоляція пристроїв і доступів має бути реалізована бездоганно.

Ця стаття Drift Protocol зазнав крадіжки 285M доларів США: північнокорейські хакери готувалися 6 місяців, використовуючи Durable Nonce для обходу мультипідпису Вперше з’являється в Ланцюжок новин ABMedia.