- Drift потеряла около $280 млн в результате атаки 1 апреля 2026 года.
- Злоумышленники действовали через многомесячную социальную инженерию и вредоносное ПО.
- Среди возможных векторов — компрометация через репозиторий кода и приложение в TestFlight.
- К инциденту могут быть причастны связанные с КНДР акторы, в частности группа UNC4736.
Децентрализованная биржа Drift сообщила детали атаки, в результате которой из протокола вывели около $280 млн. Инцидент произошел 1 апреля 2026 года. Команда приостановила работу части функций, удалила скомпрометированные кошельки из мультисигa и пометила адреса злоумышленников на централизованных биржах и у провайдеров мостов.
К расследованию привлекли компанию Mandiant. Drift также сотрудничает с правоохранительными органами и судебно-криминалистическими партнерами.
Как готовилась атака?
По предварительным данным, атака стала результатом длительной операции социальной инженерии. Ее подготовка длилась около шести месяцев. В заявлении говорится, что осенью 2025 года группа лиц представилась количественной трейдинговой компанией и установила контакт с контрибьюторами Drift на отраслевых конференциях. Далее они:
- поддерживали регулярную коммуникацию через Telegram;
- обсуждали торговые стратегии;
- внесли более $1 млн собственного капитала;
- участвовали в рабочих сессиях и демонстрировали техническую экспертизу.
Злоумышленники системно выстраивали доверие. Они лично встречались с участниками команды на нескольких конференциях и создали полноценное присутствие в экосистеме проекта.
Основные векторы компрометации и причастность КНДР
Команда Drift выделила несколько вероятных сценариев проникновения:
- компрометация через клонирование репозитория, который содержал вредоносный код;
- установка приложения через TestFlight под видом криптокошелька;
- использование уязвимостей в редакторах кода, в частности VSCode и Cursor.
Последний сценарий предполагает возможность выполнения произвольного кода при открытии файла или репозитория без дополнительных подтверждений пользователя. После атаки злоумышленники удалили Telegram-чаты и следы вредоносного ПО.
По оценкам команды SEALS 911 и компании Mandiant, со средне-высокой уверенностью атаку связывают с группой UNC4736. Она также известна как AppleJeus или Citrine Sleet и, по данным исследователей, имеет связи с Северной Кореей.
Напомним, ранее команда Incrypted разобралась в схеме атаки, которую использовал хакер, а также изучила обстоятельства дела и реакцию экспертов:
