Drift раскрыла схему взлома на $280 млн

Взлом Drift оказался не разовой атакой, а долгой операцией с офлайн-контактами, подставными персонажами и точечным выходом на сотрудников протокола. Подготовка заняла около шести месяцев, а ущерб составил примерно $280 млн. Проект связывает атаку с теми же структурами, которые стояли за взломом Radiant Capital в 2024 году.

Операция началась с конференций

Первые контакты произошли осенью 2025 года. Люди, представившиеся количественной торговой компанией, познакомились с участниками экосистемы на конференции, создали Telegram-группу и продолжили общение уже на других мероприятиях в разных странах.

Дальше схема выглядела убедительно. В декабре 2025 года и январе 2026 года эта группа подключила собственное хранилище в экосистеме Drift, прошла стандартные рабочие сессии и внесла более $1 млн капитала. Со стороны это выглядело как обычная интеграция.

Два вероятных пути заражения

После атаки команда провела анализ устройств и переписок. Рассматриваются два основных сценария.

Первый связан с репозиторием кода. Один из участников мог заразить устройство после клонирования проекта, который передали под видом интерфейса. Второй сценарий связан с установкой тестовой версии приложения через TestFlight, которое выдавали за кошелек.

Отдельно отмечается уязвимость в редакторах кода, о которой предупреждали в конце 2025 года. В некоторых случаях открытие файла или папки могло запускать вредоносный код без уведомления пользователя.

Ошибка была не в коде

Drift подчеркивает ключевой момент. Взлом не связан с багом смарт-контракта.

Атака использовала механизм отложенных транзакций в сети. Злоумышленники заранее получили одобрения мультиподписи, вероятно через подмену смысла операций или социальную инженерию. После этого они быстро получили административный доступ и вывели средства.

Это меняет восприятие риска. Даже корректный код не защищает, если компрометированы люди и процессы.

Почему подозрение снова ведет к КНДР

Проект указывает на пересечения с атакой на Radiant Capital. Совпадают модели поведения, движение средств и используемые персонажи.

При этом исполнители, которые лично участвовали во встречах, не были гражданами Северной Кореи. По оценке Drift, на таком уровне используются посредники с реальными профилями и историей, способные пройти проверку со стороны партнеров.

Что сейчас происходит с протоколом

После атаки Drift заморозила функции протокола, убрала скомпрометированные кошельки из мультиподписи и передала адреса злоумышленников биржам.

Отдельное внимание привлекла скорость перемещения средств. За несколько часов было переведено более $200 млн в стейблкоинах между сетями без блокировки.

Этот инцидент уже стал крупнейшим в DeFi в 2026 году и вторым по масштабу в истории Solana.

Почему это важно для рынка

История Drift показывает сдвиг в модели атак. Речь уже не только о коде.

Атакующие выстраивают доверие, работают через конференции, чаты и реальные знакомства. Они внедряются в процессы и ждут момент, когда подписи будут получены.

Это повышает требования к безопасности. Теперь нужно защищать не только протокол, но и людей, устройства и рабочие инструменты.

Что дальше?

Для Drift следующий этап — завершение анализа и попытка отследить активы. Для рынка вывод шире. Проверка смарт-контрактов уже недостаточна. В центре внимания оказываются процессы, доступы и человеческий фактор.

Если связь с северокорейскими структурами подтвердится, индустрии придется пересмотреть подход к безопасности. В том числе и к тому, как строятся деловые отношения внутри отрасли.

Читать далее: Algorand вырос на 23% после отчета Google AI