Введение
В апреле 2026 года группа хакеров Lazarus из Северной Кореи провела две атаки, в результате которых было украдено 577 миллионов долларов, что составило 76% от всех краж криптовалюты в этом месяце. Обе атаки не были связаны с уязвимостями смарт-контрактов. Нападающие в течение шести месяцев выдавали себя за сотрудников торговой компании, посещали криптоконференции и устанавливали реальные отношения с инженерами Drift Protocol, прежде чем получить подписи, необходимые для вывода 285 миллионов долларов всего за двенадцать минут. Вторая атака вывела 292 миллиона долларов из уязвимого узла моста. Это уже не просто проблема безопасности криптовалюты, а операция, спонсируемая государством, проводимая страной, использующей полученные средства для финансирования своей программы вооружений. Индустрия только начинает осознавать это.
Первая атака на Drift Protocol
1 апреля 2026 года в 16:06:09 UTC нападающий вывел основные хранилища Drift Protocol, крупнейшей децентрализованной биржи бессрочных фьючерсов на Solana, на сумму примерно 285 миллионов долларов в пользовательских активах. Первое снятие составило 41,72 миллиона токенов JLP, а последнее — 2,200 обернутых ETH. Все казначейство было опустошено за двенадцать минут, примерно за то время, которое требуется, чтобы написать длинное текстовое сообщение. Первое публичное заявление команды, опубликованное в X в течение нескольких часов, попросило сообщество подтвердить, что необычная активность, которую они наблюдали, не была первоапрельской шуткой. Это не была шутка. Это было кульминацией шести месяцев методической подготовки оперативников, работающих на правительство Северной Кореи.
Вторая атака на KelpDAO
Семнадцать дней спустя, 18 апреля, нападающие вывели 292 миллиона долларов из KelpDAO, протокола повторного стекинга, манипулируя конфигурацией с одним проверяющим в его мосте LayerZero. Обе атаки в совокупности составили примерно 95% от 625 миллионов долларов в кражах криптовалюты в апреле, что сделало этот месяц худшим для безопасности криптовалюты в зафиксированной истории. С начала года кражи до апреля превысили 1 миллиард долларов. TRM Labs приписали 76% от общего объема краж 2026 года двум атакам, которые были делом одного и того же злоумышленника.
Группа Lazarus
Группа Lazarus, общее название, которое используют западные разведывательные агентства для операций по взлому, спонсируемых государством, проводимых Генеральным управлением разведки Северной Кореи, с 2017 года украла более 6 миллиардов долларов в криптовалюте. По данным Chainalysis, 2,06 миллиарда долларов из этой суммы было украдено только в 2025 году, в основном из-за катастрофической кражи на Bybit в 1,5 миллиарда долларов в феврале того года, самой крупной кражи криптовалюты в истории. Темп 2026 года ставит группу на путь к тому, чтобы с легкостью превысить общий объем 2025 года.
Угрозы для протоколов DeFi
Угрозы, с которыми сталкиваются протоколы DeFi сегодня, не те, против которых они были разработаны для защиты. Беспокойство 2020-х годов касалось ошибок смарт-контрактов и уязвимостей flash loan. Реальность 2026 года — это устойчивые, многострадные операции, проводимые профессионалами разведки, которым не нужна уязвимость кода, потому что у них уже есть ключи. Им просто нужно было убедить кого-то передать их. Именно это и было атакой на Drift. Понимание этого является самым важным уроком безопасности, который любой держатель, создатель или руководитель криптовалюты может получить прямо сейчас.
Отчет Drift Protocol
Собственный посмертный отчет Drift Protocol, опубликованный в начале апреля, больше похож на отчет по контрразведке, чем на раскрытие безопасности. Он начинается в октябре 2025 года. На крупной криптоконференции группа лиц, представляющих себя представителями количественной торговой компании, подошла к участникам Drift.
У них были проверенные профессиональные биографии, они продемонстрировали техническую грамотность и задавали именно те вопросы, которые задавала бы настоящая институциональная торговая компания о интеграции с протоколом бессрочных фьючерсов. Участники Drift, которые регулярно сталкиваются с такими запросами, относились к ним как к любому другому потенциальному институциональному партнеру. Drift с тех пор уточнил, что лица на тех личных встречах не были гражданами Северной Кореи. Операции Lazarus почти всегда используют третьих посредников для лицом к лицу, при этом настоящие технические операторы остаются внутри Северной Кореи или Китая.
Структура атак
Исследователь блокчейна ZachXBT, который отслеживает криптооперации КНДР на протяжении многих лет, отметил, что эта многоуровневая структура идентичности является одной из определяющих черт кампаний Lazarus. Группа не остановилась после первой конференции. В течение шести месяцев те же оперативники или оперативники, представляющие те же идентичности, появлялись на нескольких глобальных отраслевых мероприятиях, углубляя отношения с конкретными участниками Drift. Была создана группа в Telegram для постоянного обсуждения торговых стратегий и возможностей интеграции.
Технические аспекты атак
По данным Drift, нападающие использовали два конкретных вектора вредоносного ПО. Один из них заключался в обмене репозиториями, которые содержали код, который, когда его открывали в VSCode или Cursor (редакторе кода с поддержкой ИИ), мог вызывать тихое выполнение кода через тогда еще не исправленную уязвимость. Другой заключался в том, что участник загружал то, что представлялось как продукт кошелька, распространяемого через TestFlight, платформу бета-тестирования Apple, что скомпрометировало устройство. Как только нападающие получили доступ к нужным машинам, они получили доступ к нужным кошелькам. А как только они получили нужные кошельки, остальная часть операции стала логистикой.
Создание кошельков и выполнение транзакций
23 марта, более чем за неделю до кражи, нападающие создали четыре кошелька, используя функцию «долговременного нонса» Solana, которая позволяет заранее подписанным транзакциям выполняться в любой момент в будущем. Два из этих кошельков принадлежали скомпрометированным членам Совета безопасности Drift, группы многофакторной подписи, контролирующей самые чувствительные функции протокола. Другие два находились под прямым контролем нападающих. С помощью социальной инженерии и скомпрометированных устройств нападающие получили многофакторные одобрения от двух из пяти подписантов Совета безопасности, необходимых для выполнения заранее подписанных транзакций.
Последствия атак
Чтение посмертного отчета Drift может создать впечатление, что это было необычное единственное событие. Шестимесячная операция, множество скомпрометированных устройств, предварительно подписанные транзакции, wash-traded фальшивый залог — это выглядит как сценарий Голливуда. Но если отступить, архитектурные отпечатки каждого крупного нападения Lazarus DeFi за последние три года идентичны. Скомпрометированный человеческий подписант, ослабленная конфигурация многофакторной подписи, задержанный или отсутствующий таймлок, зловредный код, замаскированный под рутинную операцию.
Заключение
Самое трудное в истории Lazarus заключается в том, что она заставляет криптоиндустрию столкнуться с правдой, которая не вписывается в ее самоосознание. На протяжении большей части своей истории криптоиндустрия представляла себя как борьбу между инноваторами и устаревшими регуляторами, между системами без разрешений и воротилами, между кодом и человеческой дискрецией. Реальность Lazarus иная. Угроза исходит не от внешнего давления. Угроза исходит от враждебного государственного противника, который индустриализировал эксплуатацию специфических структурных особенностей криптовалюты.
