Крупнейший взлом DeFi в этом году произошел на прошлой неделе 1 апреля, когда Drift Protocol, одна из крупнейших бессрочных децентрализованных бирж в сети Solana, подверглась эксплойту, в результате которого из протокола исчезло около 286 000 000 $. Атака была связана с хакерами, связанными с Северной Кореей, и весь взлом произошел всего за 10 секунд. Однако поразительным в этом взломе была его тщательная природа. Ни одна строка кода не была сломана, и ни в одном смарт-контракте не было ошибки. Расследования криптографических криминалистических фирм, таких как Elliptic и TRM Labs, на самом деле указывают на гораздо более просчитанный взлом.
Северокорейские атакующие потратили три недели на создание поддельного токена под названием CarbonVote, засеяв его несколькими тысячами долларов, чтобы он выглядел настоящим, в то же время использовав социальную инженерию против двух из пяти подписантов Совета безопасности мультиподписи Drift, заставив их предварительно подписать скрытые авторизации, которые они полностью не понимали. После этого они использовали функцию Solana под названием "durable nonces", чтобы держать эти подписи в резерве более недели, ожидая подходящего момента. Потребовалась всего одна транзакция 1 апреля.
Как отметила Elliptic, эта атака стала 18-м крипто-взломом, связанным с Северной Кореей, только в этом году, вытащив около 300 000 000 $ из пространства. Через четыре дня после взлома руководитель технологического отдела (CTO) Ledger официально заявил, чтобы подчеркнуть тревожную природу взлома и что ИИ снижает стоимость таких атак "до нуля". Это заявление имеет большое значение, потому что взлом Drift является примером того, как работают эти операции сейчас. Атакующим не нужна была уязвимость нулевого дня или первоклассный криптограф. Все, что им было нужно, это терпение, убедительный поддельный токен и два человека, которыми они могли манипулировать. Взлом фактически выявил структурную уязвимость в DeFi в том виде, в каком он существует сегодня. DeFi строит инфраструктуру на миллиарды долларов, защищенную небольшими группами людей, которых можно обмануть, в то время как противники становятся все лучше в этом.
Как Северная Корея украла 286 000 000 $ за 10 секунд
Взлом протокола Drift был изощренной эксплуатацией, которая охватила три недели подготовки. Bloomberg первым сообщил о взломе 1 апреля, когда протокол Drift подтвердил, что примерно 286 000 000 $ пользовательских активов были откачаны. Вся схема на самом деле началась еще 11 марта, когда атакующий вывел 10 ETH из Tornado Cash около 9:00 по пхеньянскому времени и использовал их для развертывания поддельного токена CarbonVote (CVT), полностью вымышленного актива, засеянного несколькими тысячами долларов ликвидности и поддерживаемого с помощью отмывочной торговли.
В течение следующих двух недель, между 23 и 30 марта, атакующий открыл учетные записи durable nonce, легитимную функцию в сети Solana, которая позволяет транзакциям быть предварительно подписанными и храниться бесконечно без истечения срока действия. В течение этого периода атакующий использовал социальную инженерию против двух из пяти подписантов мультиподписи Совета безопасности Drift, заставив их одобрить транзакции, которые выглядели нормальными, но, как позже подтвердила TRM Labs, содержали скрытые авторизации для критического административного контроля.
Последний элемент встал на место 27 марта, когда Drift перенес свой Совет безопасности на новую конфигурацию порога 2/5 с нулевой временной блокировкой, как сообщила BlockSec, что фактически устранило единственную задержку, которая позволила бы кому-либо поймать то, что грядет. К тому времени, как наступило 1 апреля, ловушка была полностью заряжена в течение нескольких дней.
1 апреля атакующий использовал эти предварительно подписанные одобрения, чтобы внести CarbonVote в качестве действительного обеспечения, раздул его стоимость до сотен миллионов через манипулируемое ценообразование оракула, и управление было захвачено. Оттуда 31 транзакция вывода опустошила хранилища Drift за считанные секунды. Только самый крупный кусок включал токены JLP на сумму более 155 000 000 $ наряду с десятками миллионов в USDC, SOL, ETH и других токенах ликвидного стейкинга, которые были слиты, и общая заблокированная стоимость в протоколе мгновенно обрушилась с около 550 000 000 $ до менее чем 250 000 000 $.
Эта скорость взлома - только одна часть этой истории. Детальный план, который длился целых три недели и закончился 10-секундным взломом, показал, насколько легко управление, а не код, может стать самым слабым звеном в DeFi.
Криптовойна Северной Кореи на 300 000 000 $ в 2026 году
Этот взлом, предположительно совершенный атакующими, связанными с Северной Кореей, ни в коем случае не является изолированным событием. На самом деле, если вы посмотрите на некоторые из самых громких взломов за последние несколько лет, становится очевидным, что это часть гораздо более крупной кампании, управляемой государством. Только в этом году Elliptic сообщила, что эксплойт Drift делает его 18-й кражей криптовалюты, приписываемой КНДР, доведя общую сумму откачанных средств до более чем 300 000 000 $ в этом году. Если вы посмотрите за пределы этого года, масштаб таких взломов из одной страны становится очень трудно игнорировать. В прошлом году актеры, связанные с Северной Кореей, украли от 1 920 000 000 $ согласно TRM Labs, в то время как Chainalysis оценивает эту цифру в 2 020 000 000 $ в криптовалюте. Это означало рост на 51% в годовом исчислении взломов, проведенных этой группой, и довело их общее ограбление за все время до 6 750 000 000 $.
Северная Корея составила рекордные 76% всех компрометаций сервисов в 2025 году, что означает, что одна страна ответственна за подавляющее большинство краж, происходящих в отрасли. На этом фоне взлом Drift, который теперь является вторым по величине эксплойтом в экосистеме Solana после взлома Wormhole в 2022 году, вписывается в схему атак.
То, что определяет эту схему, это последовательность. Взлом Bybit в феврале 2025 года, крупнейшая кража криптовалюты в истории, имел почти идентичные установки, которые включали социальную инженерию, скомпрометированный доступ и координированный обмен средствами. TRM Labs отмечает, что операторы КНДР все больше полагаются на "китайские прачечные" сети для средств, переводимых через разные блокчейны в течение нескольких часов.
Атака на Drift фактически показывает систему команд, поддерживаемых государством, проводящих многонедельные операции с разведкой, манипуляцией людьми и глобальной инфраструктурой отмывания денег, уже установленной.
ИИ снижает стоимость атак "до нуля": предупреждает CTO Ledger
Через четыре дня после слива средств из Drift, CTO Ledger Чарльз Гийме сказал CoinDesk что-то, что переосмыслило весь инцидент. "Обнаружение уязвимостей и их эксплуатация становится действительно, действительно легкой," сказал он. "Стоимость снижается до нуля." Гийме не назвал Drift, но он описал его точную механику. ИИ не только помогает атакующим находить ошибки в коде быстрее, он делает социальную инженерию более убедительной, фишинг более персонализированным, а подготовительную работу, которую северокорейские операторы провели три недели на Drift, дешевле и более масштабируемой на порядок. Он также указал на усугубляющую проблему на оборонительной стороне: по мере того как все больше разработчиков полагаются на код, сгенерированный ИИ, уязвимости могут распространяться быстрее, чем человеческие рецензенты могут их отловить. "Нет кнопки 'сделать это безопасным'," сказал он. "Мы собираемся производить много кода, который будет небезопасным по своей конструкции." Взломы и эксплойты вызвали потери криптовалюты на 1 400 000 000 $ за последний год, и прогноз Гийме заключается в том, что кривая становится круче, а не более плоской.
Взлом Drift - это самое четкое доказательство концепции для этого предупреждения. Атакующие никогда не трогали код, они нацелились на двух людей, держащих ключи. ИИ не нужно взламывать смарт-контракт, если он может создать достаточно убедительный предлог, чтобы обманом заставить подписанта мультиподписи одобрить транзакцию, которую они не полностью понимают. Гийме ожидает, что отрасль разделится: критически важные системы, такие как кошельки и основные протоколы, будут активно инвестировать в безопасность и адаптироваться, но большая часть более широкой экосистемы программного обеспечения может с трудом поспевать. Его рекомендуемые исправления - формальная верификация с использованием математических доказательств, аппаратная изоляция для приватных ключей - структурно обоснованы, но требуют уровня институциональной дисциплины, который большинство протоколов DeFi, включая Drift, еще не встроили. "Когда у вас есть выделенное устройство, не подключенное к интернету, оно более безопасно по своей конструкции," сказал он. Совет безопасности Drift не имел такого буфера. Две подписи, нулевая временная блокировка и поддельный токен - это все, что потребовалось.
Что происходит дальше: восстановление Drift и реакция отрасли
То, что произойдет дальше с протоколом Drift, далеко от ясности, и ранние сигналы уже разделяют отрасль. Сразу после случившегося Анатолий Яковенко предложил потенциальный путь восстановления: выпуск аирдропа токенов в стиле IOU для пострадавших пользователей, отражая сценарий Bitfinex 2016 года после его взлома на 72 000 000 $.
Идея проста - социализировать убытки сейчас, вернуть пользователям со временем, если протокол восстановится. Но контекст очень отличается. TVL Drift был сокращен почти вдвое, депозиты и выводы средств остаются приостановленными, и, в отличие от Bitfinex, ему не хватает централизованного механизма получения дохода для поддержки этих обязательств. Это привело к немедленному противодействию: IOU токены, в этом случае, рискуют стать чисто спекулятивными инструментами без четкого пути к погашению.
В то же время, активность в блокчейне вызывает новые опасения. Onchain Lens отметил, что кошелек, связанный с командой Drift, переместил 56 250 000 токенов DRIFT (≈2 440 000 $) на централизованные биржи, включая Bybit и Gate, вскоре после эксплойта, шаг, который обычно предшествует давлению продаж и подпитал спекуляции об инсайдерском позиционировании во время кризиса ликвидности.
Между тем, средства атакующего уже были переведены через блокчейны, в первую очередь в Ethereum, снижая вероятность значимого восстановления с каждым днем. Более широкое последствие заключается в том, что этот инцидент не закончится с Drift. Вероятно, это ускорит общеотраслевую проверку управления DeFi, от стандартов безопасности мультиподписи и требований временной блокировки до дизайна оракула и контроля выполнения. То, что произойдет дальше, зависит от трех переменных: сможет ли Drift представить заслуживающий доверия план восстановления, можно ли отследить или заморозить какую-либо часть средств, и будет ли это наконец принуждать к структурной реформе, или станет просто еще одним дорогим уроком, который отрасль оставит позади.
Если вы читаете это, вы уже впереди. Оставайтесь там с нашей рассылкой.
Источник: https://www.cryptopolitan.com/drift-protocol-hack-north-korea-ai/
