Drift раскрыла детали взлома на $280 млн: атака готовилась полгода и связана с КНДР

• Drift потеряла около $280 млн в результате атаки 1 апреля 2026 года.
• Злоумышленники действовали через многомесячную социальную инженерию и вредоносное ПО.
• Среди возможных векторов — компрометация через репозиторий кода и приложение в TestFlight.
• К инциденту могут быть причастны связанные с КНДР акторы, в частности группа UNC4736.

Децентрализованная биржа Drift сообщила детали атаки, в результате которой из протокола вывели около $280 млн. Инцидент произошел 1 апреля 2026 года. Команда приостановила работу части функций, удалила скомпрометированные кошельки из мультисигa и пометила адреса злоумышленников на централизованных биржах и у провайдеров мостов.

К расследованию привлекли компанию Mandiant. Drift также сотрудничает с правоохранительными органами и судебно-криминалистическими партнерами.

Как готовилась атака?

По предварительным данным, атака стала результатом длительной операции социальной инженерии. Ее подготовка длилась около шести месяцев. В заявлении говорится, что осенью 2025 года группа лиц представилась количественной трейдинговой компанией и установила контакт с контрибьюторами Drift на отраслевых конференциях. Далее они:

• поддерживали регулярную коммуникацию через Telegram;
• обсуждали торговые стратегии;
• внесли более $1 млн собственного капитала;
• участвовали в рабочих сессиях и демонстрировали техническую экспертизу.

Злоумышленники системно выстраивали доверие. Они лично встречались с участниками команды на нескольких конференциях и создали полноценное присутствие в экосистеме проекта.

Основные векторы компрометации и причастность КНДР

Команда Drift выделила несколько вероятных сценариев проникновения:

• компрометация через клонирование репозитория, который содержал вредоносный код;
• установка приложения