Drift Protocol (DRIFT) опублікував детальний аналіз інциденту 5 квітня 2026 року, вказавши, що експлуатація протоколу на суму $285 млн, здійснена 1 квітня, стала результатом шестимісячної операції із залученням розвідувальних ресурсів, організованої акторами, пов’язаними з урядом КНДР.
Оприлюднена інформація засвідчує складний рівень соціальної інженерії, який перевищує типові фішингові або шахрайські схеми з підставними рекрутерами. Спостерігалася пряма взаємодія, використання реального капіталу, а також ретельно вибудувані довірчі відносини протягом декількох місяців.
Фейкова трейдингова компанія, що діяла довгостроково
За повідомленням Drift, група, що імітувала діяльність квантової торгової компанії, вперше вийшла на контакт із представниками протоколу під час великої криптовалютної конференції восени 2025 року.
У подальші місяці ці особи були присутні на низці заходів у кількох країнах, організовували робочі сесії, підтримували постійну комунікацію в Telegram щодо інтеграцій сейфів (vault integrations).
Слідкуйте за нами в X, щоб оперативно отримувати актуальні новини
У період з грудня 2025 по січень 2026 року група інтегрувала Ecosystem Vault на Drift, розмістила понад $1 млн капіталу, брала участь у глибоких обговореннях продукту.
Станом на березень члени команди Drift проводили із зазначеними особами особисті зустрічі неодноразово.
«…найнебезпечніші хакери зовсім не схожі на стереотипних хакерів», – зауважив крипторозробник Gautham.
Навіть фахівці з Веб-безпеки визнали ситуацію проблемною: дослідниця Tay зазначила, що спочатку припускала звичайну схему з фейковими рекрутерами, але глибина операції виявилася значно складнішою.
Як відбулося компрометування пристроїв
Drift виділив три ймовірні вектори атаки:
- Один із контриб’юторів клонував репозиторій коду, який група надала для фронтенду сейфу.
- Ще один учасник завантажив додаток TestFlight, представлений як продукт-гаманець.
- Щодо репозиторія Drift вказав на відому вразливість у VSCode та Cursor, яку дослідники сфери кібербезпеки фіксували з кінця 2025 року.
Згадана вразливість дозволила виконувати довільний код без додаткових дій з боку користувача – відкриття файлу чи теки у редакторі було достатньо для активації експлуатації.
Після зливу коштів 1 квітня зловмисники повністю очистили історію чату в Telegram та прибрали шкідливе ПЗ. Drift заморозив роботу протоколу та вилучив скомпрометовані гаманці з мультипідпису.
Команда SEALS 911 оцінила з імовірністю вище середньої, що ті ж самі кіберзлочинці організували атаку на Radiant Capital у жовтні 2024 року, яку Mandiant приписав UNC4736.
Ончейн-дані щодо переміщення активів та операційні збіги між цими кампаніями є підтвердженням такої гіпотези.
Індустрія закликає до перезавантаження безпеки
Армані Ферранте, провідний розробник Solana, закликав усі криптовалютні команди тимчасово призупинити розширення та провести повний аудит безпеки.
«Кожна команда у сфері криптовалют повинна сприймати такі випадки як необхідність зосередитися на безпеці. Якщо є можливість, виділіть для цього цілий підрозділ… розвиток не можливий, якщо вас зламали», – вважає Ферранте.
У Drift наголосили: особи, які з’являлися на особистих зустрічах, не були громадянами КНДР. Для контактів із представниками галузі актори рівня DPRK зазвичай залучають третіх осіб (інтермедіаріїв) – це поширена практика в операціях такого масштабу.
Mandiant, якого Drift залучає для судової технічної експертизи пристроїв, станом на сьогодні формального висновку щодо атрибуції експлуатації не надала.
Оприлюднена інформація має розглядатись як попередження для всього сектора. Drift рекомендує аудит доступу до критичних ресурсів, враховувати можливість компрометації будь-якого пристрою, залученого до взаємодії з мультипідписом, а за підозри у подібному таргетуванні – звертатись до SEAL 911.
