Эксплойт на $285 миллионов в Drift, децентрализованной бирже (DEX), в этом месяце стал крупнейшим взломом в криптопространстве за более чем год, после того, как биржа Bybit потеряла $1.4 миллиарда. В качестве главных подозреваемых в обоих атаках были названы хакеры, поддерживаемые северокорейским государством.
В минувшую осень злоумышленники, выдававшие себя за квантовую торговую фирму, лично подошли к команде протокола Drift на крупной криптоконференции, сообщила Drift в своем посте в X в воскресенье.
«Теперь установлено, что это, по-видимому, целенаправленный подход, когда лица из этой группы продолжали намеренно искать и общаться с конкретными участниками Drift лично на нескольких крупных отраслевых конференциях в разных странах в течение следующих шести месяцев», — заявила DEX.
До сих пор северокорейские кибершпионы нацеливались на криптофирмы онлайн, посредством виртуальных звонков и удаленной работы. Личный подход на конференции обычно не вызывает подозрений, но эксплойт Drift должен стать достаточным поводом для участников, чтобы пересмотреть связи, установленные на недавних мероприятиях.
Взлом сократил TVL Drift более чем вдвое примерно за 12 минут. Источник: DefiLlama
Северная Корея расширяет свою тактику в криптопространстве за пределы взломов
Фирма по анализу блокчейна TRM Labs описала инцидент как крупнейший DeFi-взлом 2026 года (на данный момент) и второй по величине взлом в истории Solana, уступающий только взлому Wormhole bridge на $326 миллионов в 2022 году.
Первоначальный контакт датируется примерно шестью месяцами назад, но сам взлом произошел в середине марта, согласно TRM. Злоумышленник начал с перемещения средств из Tornado Cash и развертывания токена CarbonVote Token (CVT), одновременно используя социальную инженерию, чтобы убедить мультиподписчиков одобрить транзакции, предоставляющие повышенные разрешения.
Затем они создали доверие к CVT, намайнив большое количество токенов и раздув торговую активность, чтобы имитировать реальный спрос. Оракулы Drift восприняли этот сигнал и посчитали токен законным активом.
Когда предварительно одобренные транзакции были выполнены 1 апреля, CVT был принят в качестве залога, лимиты снятия средств были увеличены, а средства были выведены в реальные активы, включая USDC.
TRM описывает перемещение средств из Tornado Cash в марте, использованных для подготовки к взлому Drift. Источник: TRM Labs
По словам TRM, скорость и агрессивность последующего отмывания денег превзошли таковые во взломе Bybit.
Широко распространено мнение, что Северная Корея использует крупномасштабные кражи криптовалюты, такие как взломы Drift и Bybit, наряду с долгосрочными тактиками, включая размещение оперативников на удаленных должностях в технологических и криптофирмах для получения стабильного дохода. Совет Безопасности ООН заявил, что эти средства используются для финансирования программы вооружений страны.
Исследователь в области безопасности Тейлор Монахан заявил, что проникновение в DeFi-протоколы началось еще в «DeFi summer», добавив, что около 40 протоколов имели контакт с подозреваемыми оперативниками КНДР.
Северокорейские государственные СМИ сообщили в четверг, что страна испытала электромагнитное оружие и короткострельную баллистическую ракету, известную как Hwasong-11, оснащенную кассетными боеголовками.
Приблизительные размеры KN-23, также известной как Hwasong-11A. Источник: Christian Maire, FRS
Сеть проникновения обеспечивает стабильный доход от криптовалюты
Отдельное расследование показало, как сеть связанных с Северной Кореей IT-работников заработала миллионы за счет продолжительного проникновения.
Данные, полученные от анонимного источника, предоставленные ZachXBT, показали, что сеть выдавала себя за разработчиков и внедрялась в крипто- и технологические фирмы, генерируя примерно 1 миллион долларов в месяц и более 3,5 миллионов долларов с ноября.
Группа устраивалась на работу, используя поддельные удостоверения личности, маршрутизировала платежи через общую систему, затем конвертировала средства в фиат и отправляла их на китайские банковские счета через платформы, такие как Payoneer.
Отслеживание кошельков выявило часть потока, связанного с адресами, связанными с деятельностью КНДР, заявил аналитик блокчейна. Источник: ZachXBT
Операция полагалась на базовую инфраструктуру, включая общий веб-сайт с общим паролем и внутренние рейтинговые таблицы, отслеживающие доходы.
Агенты подавали заявки на работу открыто, используя VPN и поддельные документы, что указывает на долгосрочную стратегию внедрения оперативников для извлечения стабильного дохода.
Защита развивается по мере распространения тактики проникновения
Cointelegraph столкнулся с аналогичной схемой в ходе расследования 2025 года, проведенного Хайнером Гарсией, который в течение нескольких месяцев находился в контакте с подозреваемым оперативником.
Cointelegraph позже принял участие в фиктивном собеседовании Гарсиа с подозреваемым, который представился как «Мотоки» и утверждал, что он японец. Подозреваемый сорвался во время звонка после того, что не смог представиться на своем предположительно родном языке.
В ходе расследования было обнаружено, что оперативники обходят географические ограничения, используя удаленный доступ к устройствам, физически расположенным в таких странах, как США. Вместо VPN они работали непосредственно с этими машинами, что делало их деятельность локальной.
К настоящему времени рекрутеры осознали, что человек на другом конце виртуального собеседования может быть северокорейским кибершпионом. Вирусной защитной стратегией является просьба к подозреваемым оскорбить Ким Чен Ына. До сих пор эта тактика оказалась эффективной.
Подозреваемый северокорейский IT-специалист застывает, когда его просят назвать Ким Чен Ына «толстым, уродливым свиньей». Источник: Tanuki42
Однако, поскольку Drift был атакован лично, а выводы Гарсиа показали, что оперативники находят творческие способы обхода географических ограничений, северокорейские злоумышленники продолжают адаптироваться к динамике «кошки-мышки».
Просьба к кандидатам на собеседование назвать верховного лидера Северной Кореи «толстым свиньей» является эффективной стратегией на данный момент, но эксперты по безопасности предупреждают, что это не будет работать вечно.
