Хакът на Drift Protocol за над $200 милиона – как се е осъществил и кой стои зад него?

Хакът за $280 милиона срещу Drift Protocol е резултат от шестмесечна операция, проведена от северно корейската Lazarus Group, според подробен доклад на екипа.

Хакерската атака срещу Drift на 1 април 2026 г., при която бяха откраднати $280 милиона, първоначално предизвика учудване заради момента, в който се случи. Това, което някои отхвърлиха като потенциална шега за 1 април, бе потвърдено като едно от най-сериозните нарушения на сигурността в децентрализираните финанси през тази година.

Как се е стигнало до хака

Атакуващите са установили първоначален контакт още през есента на 2025 г. на голяма крипто конференция, представяйки се като квантова трейдинг компания. Те демонстрират високо техническо ниво, убедителни професионални профили и задълбочено разбиране на протокола, което води до създаване на комуникация и последващи работни взаимодействия.

В периода декември 2025 г. – януари 2026 г. групата се интегрира в екосистемата на Drift, създавайки собствен сейф, участвайки в срещи с разработчици и депозирайки над $1 милион собствен капитал. Присъствието им се затвърждава и чрез лични срещи на индустриални събития в няколко държави.

Атаката: Комбинация от социално инженерство и технически експлойт

Компрометирането е осъществено чрез два основни вектора. Един от тях включва използване на уязвимост в популярни среди за разработка като Visual Studio Code и Cursor, при която отварянето на файл може да доведе до незабавно изпълнение на малуер без предупреждение.

Вторият вектор включва приложение, разпространявано чрез TestFlight, представено като крипто портфейл, което заобикаля стандартните проверки на App Store.

След компрометирането на устройствата, атакуващите успяват да получат необходимите одобрения за мултисиг транзакции. Подписаните предварително операции остават неактивни повече от седмица, преди да бъдат изпълнени на 1 април, източвайки средствата за по-малко от минута.

Разследването свързва атаката с групата UNC4736, известна също като AppleJeus или Citrine Sleet, въз основа на блокчейн анализ и оперативни сходства с предишни атаки.

Интересното е, че участниците, които са се срещали лично с екипа, не са били севернокорейски граждани. Подобни групи често използват посредници с изградени фалшиви идентичности и професионални истории, способни да издържат на проверки.

От Drift предупредиха, че всеки достъп до мултисиг инфраструктура трябва да се разглежда като потенциална точка на атака. Случаят подчертава по-широк проблем за индустрията – дали настоящите модели за сигурност са достатъчни срещу противници, готови да инвестират време, ресурси и доверие, за да осъществят пробив.

За потребителите, които търсят повече поверителност и по-бърз достъп до търговия, изборът на правилната платформа остава ключов. В статията „Най-добрите крипто борси без KYC през 2026 г.“ ще откриете актуален преглед на водещите платформи, които предлагат търговия без задължителна верификация.