Атака на Drift Protocol: связь с северокорейскими хакерами

Компания Elliptic сообщила в четверг о том, что недавняя атака на Drift Protocol, в результате которой было похищено 285 000 000 долларов, имеет “множественные признаки” участия хакерской группы, поддерживаемой Северной Кореей. В своем исследовании фирма отметила, что поведение блокчейна, методы отмывания денег и сетевые сигналы совпадают с предыдущими инцидентами, связанными с этой страной. Drift Protocol, крупнейшая децентрализованная биржа бессрочных фьючерсов на блокчейне Solana, потеряла более 40% своей стоимости, упав до примерно 0,06 доллара после взлома. “Если это подтвердится, то данный инцидент станет 18-м случаем кражи криптоактивов, связанным с КНДР, зафиксированным Elliptic в этом году, при этом общая сумма украденного превысила 300 000 000 долларов”, – говорится в отчете. – “Это продолжение масштабной кампании КНДР по краже криптовалютных активов, которую правительство США связывает с финансированием программ вооружений Северной Кореи. Считается, что в последние годы субъекты, связанные с КНДР, ответственны за кражу криптовалют на миллиарды долларов”, – добавили в Elliptic. Несколько часов назад данные Arkham показали, что более 250 000 000 долларов были переведены из Drift на временный кошелек, а затем на другие адреса. В декабре Chainalysis сообщила, что хакеры из КНДР в 2025 году украли рекордные 2 000 000 000 долларов в криптовалюте, включая взлом Bybit на сумму 1 400 000 000 долларов, что на 51% больше, чем в предыдущем году. В прошлом месяце Министерство финансов США заявило, что Северная Корея использует украденные активы для финансирования своей программы создания оружия массового уничтожения. Вместо того чтобы сосредоточиться на уязвимости, анализ Elliptic акцентирует внимание на знакомой операционной схеме. Действия выглядят “преднамеренными и тщательно спланированными”, с предварительными тестовыми транзакциями и подготовленными кошельками, которые предшествовали основному событию. В отчете уточняется, что после завершения операции средства быстро консолидировались и обменивались, перемещаясь между блокчейнами и конвертируясь в более ликвидные активы, что отражает структурированный и повторяющийся поток отмывания денег, призванный скрыть происхождение средств, сохраняя при этом контроль. Elliptic подчеркивает, что основная проблема заключается в модели счетов Solana. Поскольку каждый актив хранится на отдельном токен-счете, действия одного участника могут выглядеть фрагментированными по нескольким адресам. Без сопоставления этих данных следователи рискуют увидеть лишь “фрагменты активности злоумышленника, а не полную картину”. В этом контексте в отчете Elliptic акцентируется внимание на кластерном подходе, который связывает учетные записи токенов с одной сущностью, позволяя выявлять уязвимости независимо от проверяемого адреса. В случае инцидента, затрагивающего более десятка типов активов, такой подход на уровне сущности становится критически важным. Elliptic также добавляет, что этот случай подчеркивает, насколько отмывание денег стало межсетевым по своей природе. Средства перемещались из Solana в Ethereum и далее, демонстрируя необходимость в том, что Elliptic называет “целостными возможностями отслеживания межсетевых операций”.