Перейти к основному контенту

Когда хакеры становятся коллегами: Внутри шестимесячной северокорейской операции, в результате которой из Drift Protocol было выведено 285 млн долларов

· 17 мин чтения
Dora Noda
Dora Noda
Software Engineer

Ограбление на 285 миллионов долларов заняло 12 минут. Подготовка заняла шесть месяцев.

Когда злоумышленники опустошили Drift Protocol — крупнейшую DEX бессрочных фьючерсов на Solana — в 16:05 UTC 1 апреля 2026 года, они не использовали уязвимость в смарт-контракте, не манипулировали оракулом и не взламывали криптографию. Они просто отправили две транзакции, которые уже были подписаны собственным Советом Безопасности протокола. Четырьмя месяцами ранее, в декабре 2025 года, эти же злоумышленники вошли в парадную дверь Drift под видом «фирмы по количественной торговле», внесли более 1 миллиона долларов собственного капитала, участвовали в рабочих сессиях с разработчиками и пожимали руки членам команды на отраслевых конференциях на нескольких континентах. Они не были незнакомцами, вредоносными URL-адресами или анонимными адресами кошельков. Они были коллегами.

Это новое лицо самого опасного противника криптовалют, и оно должно заставить пересмотреть все предположения DeFi о том, как защищаться. Северокорейские оперативники, стоящие за взломом Drift — скорее всего, TraderTraitor / UNC4736, то же ответвление Lazarus Group, связанное с кражей 1,5 миллиарда долларов у Bybit — не нуждались в том, чтобы обходить аудиты, систему управления или мультисиг Drift. Им нужно было лишь набраться терпения, чтобы войти в доверие.

12-минутное ограбление, подготовка которого заняла шесть месяцев

Доказательства в блокчейне (on-chain) читаются как триллер. Согласно отчету Drift о разборе инцидента и криминалистической реконструкции BlockSec, злоумышленники создали легенду в конце 2025 года, открыв «Ecosystem Vault» в Drift, предоставив документацию по торговой стратегии и присоединившись к нескольким рабочим сессиям с участниками протокола. К февралю и марту 2026 года члены команды Drift встречались со своими контрагентами лицом к лицу на крупнейших отраслевых конференциях. К моменту атаки отношениям было почти шесть месяцев — это значительно превышает порог, после которого большинство групп безопасности перестают рассматривать контрагента как постороннего.

Техническое исполнение использовало специфический примитив Solana: durable nonces (долговечные нонсы). В отличие от Ethereum, где каждая транзакция должна ссылаться на недавний блокхэш и истекает примерно через 150 слотов, durable nonces в Solana позволяют пользователям подписывать транзакции сегодня, которые могут быть транслированы в сеть спустя дни или недели. Эта функция предназначена для автономного подписания, запланированных выплат и рабочих процессов казначейства — удобные функции, которые в руках терпеливых противников превращаются в мину замедленного действия.

23 марта 2026 года в сети появились четыре аккаунта с durable nonces — два были связаны с членами Совета Безопасности Drift, два контролировались злоумышленником. К тому моменту двое из пяти подписантов совета уже одобрили безобидно выглядящие транзакции, связанные с этими нонсами. С порогом 2 из 5 злоумышленник заранее собрал одобрения, необходимые для захвата административного контроля. Плановая миграция совета 27 марта на короткое время аннулировала эти подписи, но к 30 марта появился свежий аккаунт durable nonce, связанный с участником нового мультисига — злоумышленник просто заново собрал необходимое количество подписей в новой конфигурации.

Затем наступило 1 апреля. В 16:05:18 UTC первая предварительно подписанная транзакция предложила передачу ключа администратора. Через секунду вторая предварительно подписанная транзакция одобрила её. Совет Безопасности фактически подписал передачу своих ключей несколькими месяцами ранее, даже не осознавая, в какие транзакции их подписи будут объединены позже.

Durable Nonces плюс социальное доверие равняются новому классу рисков управления

Инцидент с Drift классифицируют как «компрометацию мультисига», но этот ярлык недооценивает то, что произошло на самом деле. Управление через мультисиг предполагает, что получение порогового значения подписей требует либо компрометации отдельных ключей (сложно), либо координации действий разных людей для одобрения одного и того же вредоносного действия (очень сложно). Durable nonces разрушают второе предположение: подписантов можно обманом заставить одобрять фрагменты атаки по одной транзакции за раз с интервалом в несколько недель, при этом они не будут знать, что их индивидуальные подписи в конечном итоге будут собраны в единую фатальную последовательность.

Это то, что BlockSec называет разрывом в намерениях транзакции (transaction-intent gap): кошельки и интерфейсы подписания показывают пользователям, какие байты они подписывают, но редко раскрывают полные семантические последствия того, что сделают эти байты после объединения с другими подписями, находящимися под контролем злоумышленника. Традиционная защита — «больше подписантов, аппаратные кошельки, тщательная проверка» — не решает первопричину проблемы, поскольку каждый отдельный подписант действовал корректно. Система в целом все равно дала сбой.

Хуже того, злоумышленнику не пришлось компрометировать ключ ни одного из подписантов. Фишинг или социальная инженерия занятого участника с целью заставить его одобрить безобидную на вид транзакцию с durable nonce значительно проще, чем кража сид-фразы аппаратного кошелька. Как сообщил инсайдер Drift изданию DL News после взлома, этот урок для DeFi неутешителен: «Мы должны повзрослеть, иначе мы не заслуживаем того, чтобы быть будущим финансов».

Поворот Lazarus: от быстрых налетов к долгосрочному внедрению

Чтобы понять, почему атака на Drift имеет значение далеко за пределами самого протокола, посмотрите на траекторию криптоопераций Северной Кореи.

В 2025 году субъекты из КНДР украли 2,02 миллиарда долларов в результате более чем 30 инцидентов — это составило 76% всех компрометаций сервисов и довело общую сумму похищенной режимом криптовалюты до более чем 6,75 миллиарда долларов с начала ведения учета. Определяющим инцидентом того года стала кража 1,5 миллиарда долларов у Bybit в феврале 2025 года, которая до сих пор остается крупнейшим единичным ограблением в истории. В атаке на Bybit использовалась вредоносная JavaScript-инъекция, доставленная через скомпрометированную машину разработчика Safe{Wallet} — изощренная техника атаки на цепочку поставок, но все же внешняя: злоумышленники никогда не числились в штате Bybit, не присутствовали на их встречах и не выстраивали отношений с командой.

Сравните это с 2026 годом. KelpDAO был опустошен на ~ 290 миллионов долларов 18 апреля, и предварительные данные снова указывают на Lazarus. Убытки Drift составили 285 миллионов долларов, что потребовало выделения 150 миллионов долларов финансовой помощи под руководством Tether только для того, чтобы возместить средства вкладчикам. Обе атаки включали инсайдерское присутствие, которое было бы немыслимо для Lazarus образца 2022 года, специализировавшегося на быстрых налетах.

Этот сдвиг носит структурный характер. Традиционный сценарий Lazarus — примером которого являются взломы Ronin Bridge (625 млн долларов, 2022 год) и Bybit — опирался на прорыв периметра обороны: вредоносные предложения о работе в LinkedIn для инженеров, зараженные PDF-резюме, компрометация инструментов разработки через цепочку поставок. Эти атаки все еще работают, но они становятся все дороже. Поскольку все больше протоколов внедряют аппаратные кошельки, мультиподписи и гигиену ключевых церемоний, стоимость взлома извне растет. Стоимость проникновения по приглашению, напротив, падает — потому что криптоиндустрия нанимает быстро, по всему миру и анонимно.

Армия ИТ-работников КНДР, скрывающаяся на виду

Компрометация Drift находится на пересечении двух северокорейских программ, которые до недавнего времени рассматривались как отдельные угрозы: элитных хакерских подразделений Lazarus и масштабной схемы удаленных ИТ-работников режима.

В марте 2026 года Управление по контролю за иностранными активами (OFAC) Министерства финансов США ввело санкции против шести лиц и двух организаций, связанных с КНДР, за организацию мошеннического трудоустройства в ИТ-сфере, которое принесло почти 800 миллионов долларов только в 2024 году для финансирования программ создания оружия массового уничтожения и баллистических ракет. Среди подсанкционных лиц: Нгуен Куанг Вьет, генеральный директор вьетнамской компании Quangvietdnbg International Services, который, как утверждается, конвертировал около 2,5 миллионов долларов в криптовалюту для северокорейских субъектов в период с 2023 по 2025 год.

Масштабы поражают. Недавнее расследование, поддержанное Ethereum Foundation, выявило 100 оперативников КНДР, внедренных в криптофирмы, а Группа экспертов ООН уже давно оценивает число граждан КНДР, работающих удаленно на компании по всему миру, тысячами. Расследование CNN в августе 2025 года показало, что оперативники КНДР проникли в цепочки поставок почти каждой компании из списка Fortune 500, часто через «посредников» — как правило, американцев, готовых за плату размещать ноутбуки у себя дома, предоставляя оперативникам американские IP-адреса для входа в систему.

Тактика также эволюционировала за рамки пассивного найма. Согласно анализу Chainalysis, оперативники КНДР перешли к выдаванию себя за рекрутеров в известных Web3 и ИИ-компаниях, созданию убедительных мультибрендовых «карьерных порталов» и использованию полученного доступа для внедрения вредоносного ПО, кражи проприетарных данных или — как в случае с Drift — установления доверительных деловых отношений, которые приносят плоды спустя месяцы.

Обнаружение затруднено, но возможно. Компании SpyCloud и Nisos задокументировали повторяющиеся паттерны: сгенерированные ИИ фотографии профиля, нежелание появляться на видео, требования оплаты только в криптовалюте, заявления о месте жительства, не соответствующие геолокации IP, отказ от использования корпоративных устройств и конвенции в названиях электронных почт, которые сильно опираются на годы рождения, животных, цвета и мифологию. Ни один из этих сигналов сам по себе не является решающим. Вместе они формируют профиль, который должен знать назубок любой менеджер по найму в сфере DeFi.

Почему аудиты, мультисиги и KYC бессильны перед инсайдерами на службе государств

Самый неудобный вывод из инцидента с Drift заключается в том, что весь стек безопасности DeFi был разработан для совершенно иной модели угроз.

Аудиты смарт-контрактов проверяют код, а не участников. Тщательный аудит от Trail of Bits, OpenZeppelin или Quantstamp подтверждает, что байт-код протокола работает так, как заявлено. Он ничего не говорит о том, у кого находятся ключи администратора, кто может вызывать функции обновления или кто сидит в канале Discord, где члены Совета Безопасности координируют подписи. Контракты Drift не были взломаны. Были скомпрометированы люди.

Мультисиг-управление предполагает честность подписантов. Мультисиг формата 2-из-5 или 4-из-7 защищает от компрометации одного ключа или одного недобросовестного инсайдера. Он не защищает от скоординированной кампании социальной инженерии, которая заставляет нескольких легитимных подписантов одобрять фрагменты атаки в течение нескольких недель через заранее подписанные транзакции с использованием durable nonce. Даже повышение порога до 5-из-9 лишь незначительно усложняет задачу злоумышленнику, если у него есть неограниченное время и надежное бизнес-прикрытие.

KYC и проверки биографии не работают против сфабрикованных личностей. Государственные агенты используют украденные личности граждан США, фотографии, созданные искусственным интеллектом, и отмытые истории трудоустройства, которые проходят стандартные проверки. В санкциях Министерства финансов США от марта 2026 года прямо упоминалось использование «комплеенс-бирж, кастодиальных кошельков, DeFi-сервисов и кроссчейн-мостов» этими сетями — той самой инфраструктуры с KYC, которую остальная индустрия считает безопасной.

Псевдонимность участников — это преимущество, пока оно не становится проблемой. Культура DeFi прославляет псевдонимность. Многие из самых уважаемых разработчиков в этой сфере работают под алиасами, вносят вклад через коммиты в GitHub и ники в Discord и никогда не встречаются с коллегами лично. Эта культура несовместима с моделью угроз Drift, где злоумышленник инвестировал шесть месяцев именно в выстраивание доверия.

Как выглядит эшелонированная защита для новой модели угроз

Случай с Drift — это не конец истории, а шаблон. Каждый протокол с ключами администратора, мультисиг-управлением или значительными средствами в казначействе теперь уязвим для того же сценария. По результатам анализа инцидента были предложены несколько практических мер по усилению защиты.

Верификация намерений на уровне транзакций, а не доверие на уровне подписантов. Инструменты, такие как симуляция транзакций от BlockSec, Tenderly Defender и Wallet Guard, показывают полный экономический эффект транзакции — включая потенциально вредоносные последствия через существующие нонсы — до того, как подписанты ее одобрят. Пользовательский опыт по умолчанию «подпиши этот хеш» должен уйти в прошлое.

Агрессивные таймлоки для действий по управлению. Таймлок от 24 до 72 часов на передачу ключей администратора, обновление контрактов и перемещение средств казначейства дает сообществу время для обнаружения аномальных предложений. Передача прав администратора в Drift произошла в две транзакции с разницей в одну секунду. Задержка в 48 часов дала бы Совету Безопасности окно в 48 часов, чтобы заметить, что они теряют контроль.

Аппаратные модули безопасности (HSM) с операционным разделением. HSM предотвращают извлечение ключей подписи с компрометированной машины разработчика, но они не предотвращают злоупотребление durable nonce. Сочетайте HSM с обязательными рабочими процессами многосторонних вычислений (MPC), которые явно запрещают подпись с использованием durable nonce для ролей управления.

Личная верификация для ролей с высоким уровнем доверия. Методы КНДР зависят от исключительно удаленной работы. Требование физического присутствия — на конференциях, в офисах или на нотариально заверенных личных встречах — для любого, кто имеет доступ администратора, привилегии аудита или ответственность за казначейство, резко повышает операционные расходы злоумышленника. (Атакующие Drift встречались с участниками лично, но только после длительного онлайн-общения, призванного сделать эти встречи рутинными бизнес-звонками. Личная верификация работает только в том случае, если она является условием первоначального доверия, а не подтверждением уже установленных отношений.)

Системы репутации участников и ончейн-аттестации личности. Worldcoin proof-of-personhood, Gitcoin Passport и подобные системы несовершенны, но они повышают стоимость создания фальшивой личности, имеющей многолетнюю ончейн-историю, аттестации от известных участников и проверяемую активность в разных протоколах.

Публичная прозрачность найма для критически важных ролей. Норма, при которой протоколы публично раскрывают, кто владеет ключами администратора, кто входит в Советы Безопасности и кто имеет доступ к аудиту — даже если эти лица действуют под псевдонимами — создает видимость для всего сообщества. Совет Безопасности из пяти человек, в который тихо добавили нового участника за две недели до взлома, — это именно тот паттерн, который должны искать будущие расследования.

Операционная расплата, которую DeFi больше не может откладывать

Инцидент с Drift — это плата за обучение в размере 285 миллионов долларов за урок, который DeFi откладывал с 2022 года: безопасность протокола — это не то же самое, что безопасность кода. Код можно проверить аудитом, фаззингом, формальной верификацией и баунти-программами до разумного уровня надежности. Людей — разработчиков, подписантов, участников и партнеров, которые владеют ключами, одобряют обновления и формируют управление — нельзя проверить таким же образом.

Северная Корея это заметила. Тот же режим, который в 2025 году отправил вредоносный JavaScript-код Safe{Wallet} в Bybit, в 2026 году направил в Drift блестящую команду по развитию бизнеса. Следующая атака не будет похожа ни на одну из них. Она примет форму любого паттерна доверия, который следующая цель еще не научилась ставить под сомнение.

Для протоколов, строящихся сегодня, практический вопрос заключается не в том, «уязвимы ли мы для уязвимости нулевого дня от Lazarus». Он звучит так: «если бы изощренный противник потратил шесть месяцев, чтобы стать нашим другом, сколько бы он смог украсть». Если честный ответ — «большую часть нашего TVL», то это и есть тот пробел в безопасности, который необходимо закрыть — до того, как откроется следующее окно durable nonce.

BlockEden.xyz управляет инфраструктурой RPC и индексаторов промышленного уровня для Sui, Aptos, Solana, Ethereum и еще более 25 сетей с хранением ключей на аппаратном уровне, многосторонним операционным контролем и политиками верификации участников, разработанными для среды угроз после инцидента с Drift. Изучите наши инфраструктурные услуги, чтобы строить на фундаменте, защищенном от противников, с которыми DeFi реально сталкивается в 2026 году.

Источники

Share on Twitter