Взлом Drift Protocol
Соучредитель Solana Анатолий Яковенко охарактеризовал недавний взлом Drift Protocol как «ужасающий«. Этот инцидент стал результатом сложной атаки социальной инженерии, осуществленной хакерами из Северной Кореи. Как сообщает U.Today, Drift Protocol потерял $270 миллионов, что является крупнейшим взломом в экосистеме Solana на сегодняшний день. Протокол был вынужден приостановить все депозиты и выводы, подчеркивая, что инцидент не является первоапрельской шуткой.
Методы атаки
В отчете, опубликованном Drift Protocol, раскрыто, что злоумышленники физически преследовали и использовали социальную инженерию против разработчиков в реальной жизни, что потребовало значительных усилий и ресурсов. Операция, как предполагается, была осуществлена группой, связанной с государством Северной Кореи. С конца 2025 года третьи лица, не являющиеся гражданами Северной Кореи, физически подходили к участникам Drift на крупных криптоконференциях.
Нападающие, обладая проверяемыми профессиональными данными и технической грамотностью, выдавали себя за количественную торговую компанию, стремившуюся интегрироваться с протоколом. Фальшивая торговая компания зарегистрировала Ecosystem Vault на Drift в период с декабря 2025 года по январь 2026 года и внесла более $1 миллиона собственного капитала.
Доверительные отношения
Нападающим удалось поддерживать иллюзию в течение полугода, тесно сотрудничая с участниками Drift через несколько рабочих сессий и встречаясь с ними лицом к лицу на различных международных конференциях в феврале и марте 2026 года. К апрелю нападающим удалось установить доверительные деловые отношения, и участники Drift не подозревали о мошенничестве, когда группа делилась ссылками на проекты, которые они утверждали, что разрабатывают.
Технические детали
Один из участников склонировал репозиторий кода, предоставленный нападающими, который, вероятно, содержал известную уязвимость, затрагивающую редакторы текста VSCode и Cursor. Второй участник был убежден скачать фальшивое приложение TestFlight. После успешной эксплуатации нападающие очистили все свои чаты в Telegram и удалили вредоносное ПО.
