Первого апреля 2026 года децентрализованная биржа Drift, работающая на блокчейне Solana, лишилась $285 миллионов. Это не была уязвимость смарт-контракта. Никто не скомпрометировал сид-фразу. Атакующие, предположительно связанные с КНДР, использовали куда более изящный подход: социальную инженерию в сочетании с малоизвестной функцией durable nonces, позволяющей предподписывать транзакции и откладывать их исполнение на неопределённый срок.
По данным блокчейн-аналитической компании Elliptic, этот инцидент стал восемнадцатым зафиксированным актом северокорейских хакеров с начала 2026 года. Суммарно за этот период группировки, связанные с Пхеньяном, украли уже более $300 миллионов. Для сравнения, весь 2025 год принёс им рекордные $2 миллиарда, а только взлом Bybit в феврале 2025-го обошёлся бирже в $1,46 миллиарда. По различным оценкам, за последние годы КНДР присвоила криптоактивов на сумму свыше $6,5 миллиардов. Американское правительство прямо связывает эти хищения с финансированием северокорейской оружейной программы.
Подготовка к атаке на Drift началась 23 марта 2026 года. Злоумышленники обманом заставили участников мультиподписи (multisig) предварительно подписать скрытые авторизации. Механизм durable nonces на Solana позволяет подписать транзакцию заранее, а исполнить её позже, когда это понадобится. Именно эту особенность и эксплуатировали атакующие: они накапливали подписи, не вызывая подозрений, а потом активировали всё разом.
Получив несанкционированные мультиподписные одобрения, хакеры использовали механизм миграции совета безопасности протокола с нулевой задержкой (zero-timelock Security Council migration). Это позволило им за считанные минуты перехватить административные права, фактически уничтожив последнюю линию обороны Drift. Скорость исполнения не оставила команде протокола шансов среагировать.
Дальше произошло нечто необычное даже по меркам крупных криптовзломов. Около 09:30 по пхеньянскому времени атакующие развернули фиктивный токен под названием CarbonVote Token. Они засеяли его ликвидностью на несколько тысяч долларов и провели серию фиктивных сделок (wash trading). Аналитики TRM Labs детально описали, как затем этот токен был подставлен оракулам Drift: протокол начал воспринимать CarbonVote Token как легитимное обеспечение стоимостью в сотни миллионов долларов. После этого оставалось снять все предустановленные лимиты на вывод средств и опустошить хранилища.
Отмывание украденного проходило по схеме, которую Elliptic характеризует как типичную для северокорейских операций: первичная стадия через криптомиксер Tornado Cash, затем быстрое перемещение средств между блокчейнами (cross-chain bridging). Drift объявил о взломе на платформе X и сообщил о координации с компаниями в области безопасности, мостами, биржами и правоохранительными органами.
За атакой стоит целая экосистема хакерских группировок КНДР. Среди них Elliptic и другие аналитики выделяют UNC1069, BlueNoroff, CryptoCore, Nickel Gladstone, Sapphire Sleet и Stardust Chollima. Эти имена дали различные вендоры по кибербезопасности, но речь идёт о пересекающихся кластерах, действующих под единым государственным управлением. В конце февраля 2026 года две параллельные кампании социальной инженерии — DangerousPassword (известная также как CageyChameleon, CryptoMimic и CryptoCore) и Contagious Interview — уже принесли $37,5 миллиона.
Отдельного внимания заслуживает атака на цепочку поставок: компрометация популярного npm-пакета Axios. Google, Microsoft, CrowdStrike и Sophos провели атрибуцию этой атаки, связав её с группировкой UNC1069 / Nickel Gladstone на основе криминалистических метаданных, паттернов командных серверов (C2) и уникальных связей с эксклюзивным вредоносным ПО. Sophos отдельно указала на обнаруженные артефакты Nickel Gladstone в коде, использованном при атаке на Axios.
Тревожная тенденция — северокорейские хакеры активно применяют искусственный интеллект для совершенствования социальной инженерии. Если раньше их основными целями были биржи, то теперь фокус смещается на индивидуальных разработчиков и контрибьюторов открытых проектов. Атака на Drift показала это со всей очевидностью: техническая уязвимость была не в коде, а в людях, которые подписали транзакции, не понимая до конца, что именно они авторизуют.
Случай с Drift ставит неудобный вопрос перед всей DeFi-индустрией. Мультиподпись долго считалась золотым стандартом безопасности. Но когда подписанты становятся жертвами тщательно подготовленной социальной инженерии, а протокольные механизмы вроде durable nonces превращаются в оружие, привычные модели защиты перестают работать. $285 миллионов испарились не из-за бага, а потому что кто-то нажал «подписать».
Изображение носит иллюстративный характер
По данным блокчейн-аналитической компании Elliptic, этот инцидент стал восемнадцатым зафиксированным актом северокорейских хакеров с начала 2026 года. Суммарно за этот период группировки, связанные с Пхеньяном, украли уже более $300 миллионов. Для сравнения, весь 2025 год принёс им рекордные $2 миллиарда, а только взлом Bybit в феврале 2025-го обошёлся бирже в $1,46 миллиарда. По различным оценкам, за последние годы КНДР присвоила криптоактивов на сумму свыше $6,5 миллиардов. Американское правительство прямо связывает эти хищения с финансированием северокорейской оружейной программы.
Подготовка к атаке на Drift началась 23 марта 2026 года. Злоумышленники обманом заставили участников мультиподписи (multisig) предварительно подписать скрытые авторизации. Механизм durable nonces на Solana позволяет подписать транзакцию заранее, а исполнить её позже, когда это понадобится. Именно эту особенность и эксплуатировали атакующие: они накапливали подписи, не вызывая подозрений, а потом активировали всё разом.
Получив несанкционированные мультиподписные одобрения, хакеры использовали механизм миграции совета безопасности протокола с нулевой задержкой (zero-timelock Security Council migration). Это позволило им за считанные минуты перехватить административные права, фактически уничтожив последнюю линию обороны Drift. Скорость исполнения не оставила команде протокола шансов среагировать.
Дальше произошло нечто необычное даже по меркам крупных криптовзломов. Около 09:30 по пхеньянскому времени атакующие развернули фиктивный токен под названием CarbonVote Token. Они засеяли его ликвидностью на несколько тысяч долларов и провели серию фиктивных сделок (wash trading). Аналитики TRM Labs детально описали, как затем этот токен был подставлен оракулам Drift: протокол начал воспринимать CarbonVote Token как легитимное обеспечение стоимостью в сотни миллионов долларов. После этого оставалось снять все предустановленные лимиты на вывод средств и опустошить хранилища.
Отмывание украденного проходило по схеме, которую Elliptic характеризует как типичную для северокорейских операций: первичная стадия через криптомиксер Tornado Cash, затем быстрое перемещение средств между блокчейнами (cross-chain bridging). Drift объявил о взломе на платформе X и сообщил о координации с компаниями в области безопасности, мостами, биржами и правоохранительными органами.
За атакой стоит целая экосистема хакерских группировок КНДР. Среди них Elliptic и другие аналитики выделяют UNC1069, BlueNoroff, CryptoCore, Nickel Gladstone, Sapphire Sleet и Stardust Chollima. Эти имена дали различные вендоры по кибербезопасности, но речь идёт о пересекающихся кластерах, действующих под единым государственным управлением. В конце февраля 2026 года две параллельные кампании социальной инженерии — DangerousPassword (известная также как CageyChameleon, CryptoMimic и CryptoCore) и Contagious Interview — уже принесли $37,5 миллиона.
Отдельного внимания заслуживает атака на цепочку поставок: компрометация популярного npm-пакета Axios. Google, Microsoft, CrowdStrike и Sophos провели атрибуцию этой атаки, связав её с группировкой UNC1069 / Nickel Gladstone на основе криминалистических метаданных, паттернов командных серверов (C2) и уникальных связей с эксклюзивным вредоносным ПО. Sophos отдельно указала на обнаруженные артефакты Nickel Gladstone в коде, использованном при атаке на Axios.
Тревожная тенденция — северокорейские хакеры активно применяют искусственный интеллект для совершенствования социальной инженерии. Если раньше их основными целями были биржи, то теперь фокус смещается на индивидуальных разработчиков и контрибьюторов открытых проектов. Атака на Drift показала это со всей очевидностью: техническая уязвимость была не в коде, а в людях, которые подписали транзакции, не понимая до конца, что именно они авторизуют.
Случай с Drift ставит неудобный вопрос перед всей DeFi-индустрией. Мультиподпись долго считалась золотым стандартом безопасности. Но когда подписанты становятся жертвами тщательно подготовленной социальной инженерии, а протокольные механизмы вроде durable nonces превращаются в оружие, привычные модели защиты перестают работать. $285 миллионов испарились не из-за бага, а потому что кто-то нажал «подписать».
