Северная Корея создала поддельный токен, чтобы украсть 286 миллионов долларов у Drift Protocol, а искусственный интеллект делает эти атаки дешевле

Крупнейший взлом DeFi в этом году произошёл на прошлой неделе, 1 апреля, когда Drift Protocol, одна из крупнейших децентрализованных бирж (DEX) в сети solana , подверглась атаке, в результате которой из протокола исчезло около 286 миллионов долларов. Атака была связана с хакерами, имеющими связи с Северной Кореей, и весь взлом произошёл всего за 10 секунд. Однако поразительным в этом взломе была его тщательность. Ни один код не был взломан, и ни один смарт-tracне содержал ошибок. Расследования криптоаналитических компаний, таких как Elliptic и TRM Labs, указывают на гораздо более продуманный взлом. 

Северокорейские злоумышленники потратили три недели на создание поддельного токена под названием CarbonVote, внеся в него несколько тысяч долларов, чтобы он выглядел реальным, и одновременно используя методы социальной инженерии, заставили двух из пяти подписантов Совета Безопасности Drift предварительно подписать скрытые авторизации, которые они не до конца понимали. После этого они использовали функцию Solana под названием «устойчивые nonce», чтобы удерживать эти подписи в резерве более недели, ожидая подходящего момента. Для этого потребовалась всего одна транзакция 1 апреля. 

Как отмечает Elliptic, эта атака стала 18-й криптохакерской атакой, связанной с Северной Кореей, только в этом году, в результате которой из криптовалютного пространства было выведено около 300 миллионов долларов. Через четыре дня после взлома технический директор Ledger публично подчеркнул тревожный характер атаки и то, что искусственный интеллект снижает стоимость подобных атак «до нуля». Это заявление имеет большое значение, поскольку взлом Drift — это пример того, как сейчас работают подобные операции. Злоумышленникам не понадобилась уязвимость нулевого дня или первоклассный криптограф. Все, что им было нужно, — это терпение, убедительный поддельный токен и два человека, которыми они могли манипулировать. Взлом фактически выявил структурную уязвимость в DeFi в его нынешнем виде. DeFi строит инфраструктуру стоимостью в миллиарды долларов, защищенную небольшими группами людей, которых можно обмануть, в то время как противники становятся все лучше в этом деле. 

Как Северная Корея украла 286 миллионов долларов за 10 секунд 

Взлом протокола Drift представлял собой сложную атаку, подготовка к которой заняла три недели. Bloomberg впервые сообщил о взломе 1 апреля, когда протокол Drift подтвердил, что из системы было выведено около 286 миллионов долларов пользовательских активов. Вся схема фактически началась еще 11 марта, когда злоумышленник вывел 10 ETH из Tornado Cash около 9 утра по пхеньянскому времени и использовал их для развертывания поддельного токена CarbonVote (CVT), полностью фиктивного актива, обеспеченного несколькими тысячами долларов ликвидности и поддерживаемого в рабочем состоянии посредством фиктивных сделок. 

В течение следующих двух недель, с 23 по 30 марта, злоумышленник открыл счета с гарантированным одноразовым кодом (derable nonce accounts) — легитимную функцию в Solana , позволяющую предварительно подписывать транзакции и хранить ихdefiвремя без истечения срока действия. В этот период злоумышленник с помощью методов социальной инженерии убедил двух из пяти участников Совета безопасности Drift, имеющих право подписи мультиподписей, одобрить транзакции, которые выглядели как обычные, но, как TRM Labs , содержали скрытые разрешения на критически важный административный контроль. 

Последний недостающий элемент был добавлен 27 марта, когда Drift перевела свой Совет безопасности на новую конфигурацию с порогом 2/5 и нулевой временной блокировкой, как сообщила BlockSec, что, по сути, устранило единственную задержку, которая позволила бы кому-либо перехватить надвигающуюся угрозу. К 1 апреля ловушка была полностью заряжена на несколько дней. 

1 апреля злоумышленник, используя предварительно подписанные разрешения, указал CarbonVote в качестве действительного залога, искусственно завысил его стоимость до сотен миллионов с помощью манипулирования ценами оракула и захватил управление. После этого 31 транзакция вывода средств опустошила хранилища Drift за считанные секунды. Самая крупная часть включала токены JLP на сумму более 155 миллионов долларов, а также десятки миллионов долларов в USDC, SOL, ETH и других ликвидных токенах для стейкинга, и общая заблокированная стоимость протокола мгновенно рухнула с примерно 550 миллионов долларов до менее чем 250 миллионов долларов. 

Скорость взлома — лишь часть этой истории. Детальный план, разрабатывавшийся в течение трёх недель и завершившийся взломом за 10 секунд, показал, насколько легко не код, а управление может стать самым слабым звеном в DeFi. 

Криптовойна Северной Кореи стоимостью 300 миллионов долларов в 2026 году 

Этот взлом, предположительно совершенный связанными с Северной Кореей злоумышленниками, отнюдь не является единичным случаем. На самом деле, если взглянуть на некоторые из самых громких взломов за последние несколько лет, становится очевидно,dent это часть гораздо более масштабной, организованной государством кампании. Только в этом году, по данным Elliptic, эксплойт Drift стал 18-м случаем кражи криптовалюты, приписываемым КНДР, в результате чего общая сумма похищенных средств превысила 300 миллионов долларов в этом году. Если посмотреть за пределы этого года, масштабы подобных взломов из одной страны становятся очень трудно игнорировать. В прошлом году связанные с Северной Кореей злоумышленники украли от 1,92 миллиарда долларов, по данным TRM Labs, а Chainalysis оценивает эту цифру в 2,02 миллиарда долларов в криптовалюте. Это ознаменовало 51-процентный рост числа взломов, совершенных этой группой, по сравнению с прошлым годом, и довело их общую сумму краж до 6,75 миллиарда долларов. 

На долю Северной Кореи в 2025 году пришлось рекордные 76% всех случаев взлома сервисов, а это значит, что одна страна несет ответственность за подавляющее большинство краж, происходящих в отрасли. На этом фоне взлом Drift, который сейчас является вторым по величине взломом в экосистеме Solana после взлома Wormhole в 2022 году, вписывается в общую схему атак. 

Характерной defiэтой модели является последовательность. Взлом Bybit в феврале 2025 года, крупнейшая кража криптовалюты в истории, имел практически идентичныеdent, включавшие социальную инженерию, несанкционированный доступ и скоординированный обмен средствами. TRM Labs отмечает, что операторы из КНДР все чаще полагаются на сети «китайских прачечных» для перевода средств между различными блокчейнами в течение нескольких часов. 

Атака на Drift фактически демонстрирует систему поддерживаемых государством групп, проводивших многонедельные операции с использованием разведки, манипулирования людьми и глобальной инфраструктуры для отмывания денег. 

Технический директор Ledger предупреждает, что ИИ снижает стоимость кибератак «до нуля»

Через четыре дня после утечки данных из Drift технический директор Ledger Чарльз Гийеме заявил CoinDesk нечто, что полностью изменило представление об инцидентеdent«Находить уязвимости и использовать их становится действительно очень легко», — сказал он. «Стоимость снижается до нуля». Гийеме не назвал Drift, но описал его точный механизм работы. Искусственный интеллект не только помогает злоумышленникам быстрее находить ошибки в коде, но и делает социальную инженерию более убедительной, фишинг — более персонализированным, а подготовительную работу, которую северокорейские операторы потратили три недели на Drift, — дешевле и масштабируемее на порядок. Он также указал на усугубляющуюся проблему в сфере защиты: по мере того, как все больше разработчиков полагаются на код, сгенерированный ИИ, уязвимости могут распространяться быстрее, чем их могут обнаружить эксперты-люди. «Нет кнопки „сделать это безопасным“», — сказал он. «Мы будем создавать много кода, который будет небезопасным по своей сути». Взлом и уязвимости привели к убыткам в криптовалюте в размере 1,4 миллиарда долларов за последний год, и, по прогнозам Гийеме, кривая убытков будет становиться круче, а не ровнее. 

Взлом Drift — наиболее наглядное подтверждение этого предупреждения. Злоумышленники не трогали код, они атаковали двух людей, владеющих ключами. Искусственному интеллекту не нужно взламывать смарт-trac, если он может создать достаточно убедительный предлог, чтобы обманом заставить подписанта мультиподписи одобрить транзакцию, которую он не до конца понимает. Гийеме ожидает, что индустрия разделится: критически важные системы, такие как кошельки и основные протоколы, будут вкладывать значительные средства в безопасность и адаптироваться, но большая часть более широкой программной экосистемы может испытывать трудности с тем, чтобы идти в ногу со временем. Его рекомендуемые исправления — формальная верификация с использованиемmaticдоказательств, аппаратная изоляция закрытых ключей — структурно надежны, но требуют уровня институциональной дисциплины, который большинство протоколов DeFi , включая Drift, еще не внедрили. «Когда у вас есть выделенное устройство, не подключенное к интернету, оно более безопасно по своей конструкции», — сказал он. У Совета безопасности Drift не было такого буфера. Двух подписей, нулевой временной блокировки и поддельного токена было достаточно.

Что будет дальше: восстановление Drift и реакция отрасли

Дальнейшая судьба Drift Protocol пока неясна, и первые сигналы уже разделяют индустрию. Сразу после произошедшего Анатолий Яковенко предложил потенциальный путь восстановления: раздачу токенов пострадавшим пользователям в форме расписки о долге, по аналогии с действиями Bitfinex в 2016 году после взлома, причинившего ущерб на 72 миллиона долларов. 

Идея проста: сейчас убытки распределяются между пользователями, а со временем, если протокол восстановится, выплаты будут произведены. Но контекст совершенно иной. TVL Drift сократился почти вдвое, депозиты и снятия средств остаются приостановленными, и, в отличие от Bitfinex, у него отсутствует централизованный механизм получения дохода для покрытия этих обязательств. Это вызвало немедленное сопротивление: токены IOU в данном случае рискуют стать чисто спекулятивными инструментами без четкого пути к погашению.

В то же время активность в блокчейне вызывает новые опасения. Onchain Lens сообщила, что кошелек, связанный с командой Drift, переместил 56,25 миллиона токенов DRIFT (≈2,44 миллиона долларов) на централизованные биржи, включая Bybit и Gate, вскоре после взлома. Этот шаг обычно предшествует давлению со стороны продавцов и подпитывает спекуляции о позициях инсайдеров во время кризиса ликвидности. 

Тем временем средства злоумышленника уже переведены между блокчейнами, в первую очередь в Ethereum, что с каждым днем ​​снижает вероятность существенного восстановления. Более широкое значение этогоdent заключается в том, что он не закончится на Drift. Вероятно, он ускорит общеотраслевое изучение самого управления DeFi , от стандартов безопасности мультиподписи и требований к временной блокировке до проектирования оракулов и контроля исполнения. Дальнейшие события зависят от трех переменных: сможет ли Drift представить убедительный план восстановления, удастся ли tracили заморозить какую-либо часть средств, и приведет ли это, наконец, к структурным реформам или станет просто еще одним дорогостоящим уроком, который отрасль забудет.