Взлом Drift Protocol: как Северная Корея похитила $285 млн за 12 минут
Взлом децентрализованного протокола Drift Protocol стал самым большим ограблением в DeFi-секторе 2026 года. В считанные минуты злоумышленники вывели $285 млн — результат шестимесячной операции, которая объединила социальную инженерию, компрометацию инфраструктуры и сложные манипуляции с блокчейном. Следователи уверенно связывают атаку с северокорейской группировкой UNC4736.
Шесть месяцев подготовки: анатомия атаки
Атака не была импровизацией — она готовилась полгода. Злоумышленники действовали под видом количественной торговой фирмы, систематически выстраивая доверие с командой Drift Protocol. Они появлялись на отраслевых конференциях, общались с разработчиками лично и даже вложили более $1 млн собственных средств в протокол, чтобы выглядеть убедительно.
Этот подход сработал. Получив достаточный уровень доверия, злоумышленники скомпрометировали ключи администратора из-за методов социальной инженерии. После этого открылся следующий этап: манипулирование оракулами цены через фейтовый токен.
Собственный вывод средств занял всего 12 минут. За это время из протокола исчезло примерно 41,7 млн. токенов JLP (на сумму ~$155 млн.), а также USDC, SOL и другие цифровые активы, в том числе ликвидные стейкинг-токены. Общий ущерб - $285 млн.
Следует в блокчейне: как Elliptic отследила средства
Отслеживание украденных активов в сети Solana — задача нетривиальная. Архитектура Solana предусматривает отдельный токен-аккаунт для каждого актива, что существенно усложняет анализ.
Компания Elliptic применила технологию Advanced Clustering, которая автоматически связывает основной аккаунт злоумышленника со всеми его токен-аккаунтами. Это позволило получить целостную картину перемещения средств, несмотря на фрагментированную природу данных Solana.
Картина оказалась четкой: после вывода из Drift Protocol средства были стремительно конвертированы в USDC на децентрализованной бирже Solana, а затем переведены в ETH на блокчейне Ethereum — стандартная схема для запутывания следов.
Северокорейский след
По данным Elliptic и TRM Labs, атаку связывают с группировкой UNC4736, известной также под названиями AppleJeus, Citrine Sleet, Golden Chollima и Gleaming Pisces. Это та же группировка, которой приписывают атаку на Radiant Capital в октябре 2024 года — тактические сходства между двумя операциями очевидны.
Взлом Drift Protocol стал восемнадцатым задокументированным Elliptic инцидентом, связанным с деятельностью КНДР, в 2026 году. Общая сумма похищенного северокорейскими актерами в этом году превысила $300 млн.
Следует отметить, что параллельно с атакой была обнаружена компрометация цепочки поставки пакета Axios npm — также связанная с КНДР. Это подчеркивает, что угроза выходит за рамки прямых атак на протоколы.
Последствия: рынок и протокол
Рыночная реакция на курс криптовалюты была мгновенной: токен DRIFT потерял более 40% стоимости сразу после объявления о взломе. TVL протокола упал с ~$550 млн до менее чем $250 млн.
Уроки для экосистемы Solana
Эта атака обнаружила системные уязвимости, актуальные для всего DeFi-сектора:
Контроль доступа. Каждое устройство, имеющее доступ к мультиподписи, следует рассматривать как потенциальную цель. Компрометация одного узла не должна открывать доступ ко всей системе.
Проверка зависимостей. Учитывая зафиксированные атаки на цепочки поставки npm-пакетов, необходима регулярная аудиторская проверка всех программных компонентов и посторонних зависимостей.
Технические предохранители. Временные замки на вывод больших сумм и надежный дизайн оракулов могли бы существенно ограничить ущерб или полностью остановить атаку.
Проверка партнеров. Шестимесячная подготовка злоумышленников показывает: процедуры верификации внешних участников нуждаются в значительном усилении — независимо от уровня демонстрируемой лояльности.
Взлом Drift Protocol – это не просто очередной инцидент в длинном списке DeFi-взломов. Это подробно спланированная государственная операция, направленная против децентрализованной финансовой инфраструктуры. Ответ на такую угрозу требует системного подхода: от технических средств защиты к культуре безопасности внутри команд.