Atak hakerski na Drift Protocol o wartości 285 mln dolarów trwał sześć miesięcy, obwiniono północnokoreańską grupę

1 kwietnia 2026 r. wykorzystać of SolanaProtokół Drift oparty na systemie, który wysysał z platformy około 285 milionów dolarów, nie był spontanicznym atakiem. Według wstępnych danych Drift śledztwo, było to wynikiem zorganizowanej operacji wywiadowczej, która rozpoczęła się co najmniej sześć miesięcy wcześniej, a którą przypisuje się ze średnio-wysokim prawdopodobieństwem UNC4736, północnokoreańskiej grupie przestępczej powiązanej z państwem, znanej również jako AppleJeus lub Citrine Sleet.

Jak właściwie doszło do ataku na protokół Drift?

Według zespołu Drift Protocol, operacja rozpoczęła się na dużej konferencji kryptowalutowej jesienią 2025 roku, gdzie osoby podające się za firmy zajmujące się handlem ilościowym skontaktowały się z autorami Drift. To, co nastąpiło później, nie było szybką próbą phishingu. Była to celowa, trwająca miesiące kampania budowania relacji, prowadzona podczas wielu spotkań osobistych, na wielu konferencjach branżowych, w wielu krajach.

Grupa była biegła technicznie, miała udokumentowane doświadczenie zawodowe i wykazała się dogłębną znajomością zasad działania protokołu Drift. Po pierwszym spotkaniu utworzono grupę w Telegramie, a merytoryczne dyskusje na temat strategii handlowych i integracji z sejfami trwały miesiącami. Zespół Drift zauważył, że te interakcje były w pełni zgodne z tym, jak legalne firmy handlowe zazwyczaj korzystają z protokołu.

Od grudnia 2025 do stycznia 2026 roku grupa wdrożyła w Drift Ecosystem Vault. Proces ten obejmował przesłanie szczegółów strategii za pośrednictwem formalnego formularza zgłoszeniowego, udział w licznych sesjach roboczych z uczestnikami Drift oraz wpłacenie ponad miliona dolarów własnego kapitału. Zbudowali oni sprawnie działającą obecność operacyjną w ramach protokołu, z rozmysłem i cierpliwością.

Ostatnie miesiące przed eksploatacją

Rozmowy integracyjne trwały do ​​lutego i marca 2026 roku. Współpracownicy Drift ponownie spotkali się z członkami grupy osobiście na ważnych wydarzeniach branżowych. Do kwietnia ich relacje trwały już prawie sześć miesięcy. Nie byli to obcy ludzie. To byli ludzie, z którymi zespół Drift współpracował i spotykał się osobiście wielokrotnie.

W tym okresie grupa udostępniała linki do projektów, narzędzi i aplikacji, które rzekomo tworzyła. Udostępnianie takich zasobów jest standardową praktyką w relacjach z firmami handlowymi, co właśnie sprawiło, że był to skuteczny mechanizm dostaw.

Jakie były wektory ataków technicznych?

Po ataku z 1 kwietnia firma Drift przeprowadziła analizę kryminalistyczną zainfekowanych urządzeń, kont i historii komunikacji. Czaty w Telegramie i złośliwe oprogramowanie używane przez grupę zostały całkowicie usunięte w momencie ataku. Śledztwo przeprowadzone przez Drift zidentyfikowało trzy prawdopodobne wektory włamań:

• Jeden z współpracowników mógł paść ofiarą ataku po sklonowaniu repozytorium kodu udostępnionego przez grupę, prezentowanego jako narzędzie wdrażania front-endu dla jego sejfu.
• Drugiego współautora namówiono do pobrania aplikacji TestFlight, którą grupa określiła jako swój portfel. TestFlight to platforma Apple służąca do dystrybucji wersji beta aplikacji na iOS przed ich publicznym udostępnieniem.
• W przypadku wektora opartego na repozytorium prawdopodobnym mechanizmem była znana luka w zabezpieczeniach edytorów kodu VSCode i Cursor, którą badacze ds. bezpieczeństwa aktywnie sygnalizowali między grudniem 2025 r. a lutym 2026 r. Otwarcie pliku, folderu lub repozytorium w zagrożonym edytorze wystarczało do cichego wykonania dowolnego kodu, bez żadnego monitu, ostrzeżenia, okna dialogowego z uprawnieniami ani żadnego widocznego sygnału dla użytkownika.

W momencie publikacji artykułu wciąż trwała pełna analiza kryminalistyczna sprzętu, którego dotyczył problem.

Jak szybko przeprowadzono atak?

Konfiguracja zajęła sześć miesięcy, ale realizacja przebiegła błyskawicznie. Po przejęciu kontroli administracyjnej nad protokołem, rzeczywiste środki użytkowników zostały wykradzione w niecałe 12 minut. Całkowita zablokowana wartość (TVL) Drifta spadła z około 550 milionów dolarów do poniżej 300 milionów dolarów w niecałą godzinę. Wartość tokena DRIFT spadła o ponad 40% podczas incydentu. Firma ochroniarska PeckShield potwierdziła, że ​​całkowita strata przekroczyła 285 milionów dolarów, co stanowiło ponad 50% ówczesnej TVL protokołu.

Zespół Drifta opublikował na X post, w którym wyjaśnił, że sytuacja jest prawdziwa, pisząc: „To nie jest primaaprilisowy żart. Prosimy o zachowanie ostrożności do odwołania”. Wszystkie wpłaty i wypłaty zostały zawieszone na czas rozpoczęcia dochodzenia.

Odkryj obiecujące projekty...

Obiecujące projekty...

(Reklama)

Artykuł ciąg dalszy...

Gdzie poszło 285 milionów dolarów?

Atakujący szybko zatarł ślad środków po ataku. Skradzione aktywa zostały przekonwertowane na USDC i SOL, a następnie przeniesione z Solany do Ethereum za pomocą protokołu CCTP (Cross-Chain Transfer Protocol) firmy Circle. CCTP to natywna infrastruktura pomostowa firmy Circle, która umożliwia przesyłanie USDC między różnymi blockchainami bez konieczności ich „wrapowania”. W sieci Ethereum środki zostały przekonwertowane na ETH. Śledzenie w łańcuchu bloków potwierdziło, że atakujący ostatecznie zgromadził 129 066 ETH, co w tamtym czasie było warte około 273 miliony dolarów.

Atakujący zdeponował SOL również na platformach HyperLiquid i Binance, rozprzestrzeniając aktywność na wiele platform i utrudniając śledzenie użytkowników.

Czy Circle zareagował wystarczająco szybko?

Śledczy ZachXBT, zajmujący się analizą łańcuchów bloków, publicznie skrytykował Circle po ujawnieniu exploita, wskazując, że duże ilości skradzionych USDC zostały przelane z Solany do Ethereum w godzinach pracy w USA bez zamrożenia. ZachXBT porównał to z niedawną decyzją Circle o zamrożeniu 16 niepowiązanych ze sobą korporacyjnych portfeli typu hot wallet w zamkniętym postępowaniu cywilnym w USA, argumentując, że Circle miał zarówno możliwości techniczne, jak i wyraźny precedens, aby interweniować, ale nie zareagował wystarczająco szybko, aby ograniczyć szkody.

Kto stoi za atakiem?

Z umiarkowanym prawdopodobieństwem, popartym dochodzeniami przeprowadzonymi przez zespół SEALS 911, dochodzenie Drifta przypisuje operację tym samym podmiotom odpowiedzialnym za atak na bazę Radiant Capital w październiku 2024 roku. Atak ten został formalnie przypisany przez Mandiant grupie UNC4736, powiązanej z państwem Korei Północnej.

Podstawę tego połączenia stanowią zarówno zasoby on-chain, jak i zasoby operacyjne. Przepływy środków wykorzystywane do przygotowania i testowania operacji Drift są powiązane z portfelami powiązanymi z atakującymi Radiant. Ponadto persony wykorzystywane w kampanii Drift wykazują wyraźne powiązania ze znanymi wzorcami aktywności powiązanymi z KRLD.

Zespół Drifta wyjaśnił, że osoby, które osobiście pojawiły się na konferencjach, nie były obywatelami Korei Północnej. Wiadomo, że na tym poziomie operacyjnym aktorzy powiązani z KRLD korzystają z usług zewnętrznych pośredników, aby budować relacje twarzą w twarz, utrzymując agentów na dystans.

Firma Mandiant została formalnie zaangażowana w śledztwo, ale nie przedstawiła jeszcze oficjalnego źródła odpowiedzialności za exploit Drift. Ustalenie tego wymaga ukończenia analizy kryminalistycznej urządzenia, która wciąż trwa.

Aktualne środki reagowania

W chwili publikacji Drift podjął następujące kroki:

• Wszystkie pozostałe funkcje protokołu zostały zamrożone
• Zagrożone portfele zostały usunięte z multisig
• Portfele atakujących zostały oznaczone na giełdach i u operatorów mostów
• Mandiant został zaangażowany jako główny partner ds. badań kryminalistycznych

Drift oświadczył, że udostępnia te szczegóły publicznie, aby inne zespoły w ekosystemie mogły zrozumieć, jak w rzeczywistości wygląda ten typ ataku, i podjąć odpowiednie kroki w celu zapewnienia sobie ochrony.

Wniosek

Atak na protokół Drift to nie historia o luce w zabezpieczeniach kodu, która umknęła audytowi. To historia o ciągłym oszustwie. Atakujący spędzili sześć miesięcy budując swoją wiarygodność poprzez spotkania osobiste, działającą integrację z sejfem i ponad milion dolarów własnego kapitału, zanim w ciągu 12 minut stracili 285 milionów dolarów.

 Wektory techniczne – repozytorium złośliwego kodu i fałszywa aplikacja TestFlight – były skuteczne właśnie dlatego, że zaufanie wymagane do ich otworzenia zostało wcześniej starannie zbudowane. 

W przypadku protokołów DeFi lekcja jest prosta: powierzchnia ataku nie ogranicza się do inteligentnych kontraktów. Obejmuje każde urządzenie, z którego pochodzi dany podmiot, każde repozytorium zewnętrzne i każdą relację nawiązaną na konferencji branżowej. UNC4736 zademonstrował to już dwukrotnie: najpierw na konferencji Radiant Capital w październiku 2024 roku, a następnie na konferencji Drift w kwietniu 2026 roku, za każdym razem stosując to samo cierpliwe i oparte na zasobach podejście.

Zasoby

1. Protokół dryfu na X:Opublikowano 5 marca

2. PeckShield na X: Posty (1-2 kwietnia)

3. Lookonchain na platformie X: Posty (1-2 kwietnia)