Команда Drift Protocol сообщила, что взлом 1 апреля 2026 года с ущербом около $280 млн был тщательно подготовленной операцией, требовавшей организационной поддержки, значительных ресурсов и нескольких месяцев планирования. По данным экспертов Diverg, TRM Labs и Elliptic, за атакой стоит северокорейская группировка Lazarus (UNC4736, также известная как TraderTraitor, AppleJeus или Citrine Sleet).
По словам представителей проекта, злоумышленники осенью 2025 года установили контакт с Drift на тематической конференции, представившись сотрудниками торговой компании, и постепенно завоевали доверие команды. Они участвовали в обсуждениях торговых стратегий и интеграции хранилища, вложили более $1 млн в экосистему и полгода поддерживали личное общение через чаты и встречи.
Для атаки хакеры использовали несколько векторов: клонирование репозитория кода с целью внедрения вредоносного функционала, убеждение сотрудника загрузить фальшивое приложение TestFlight и эксплуатацию уязвимости в репозиториях, которая позволяла запускать код через простое открытие файлов.
После атаки все контакты и общие чаты были удалены, а работа протокола приостановлена. В Drift продолжается криминалистический анализ оборудования при поддержке SEALS 911 и правоохранительных органов.
Ранее эксперты связывали UNC4736 с атакой на Radiant Capital на $50 млн в октябре 2024 года, а также с попытками взлома интернет-магазина Bitrefill в марте 2026 года. При этом злоумышленники использовали посредников, не являющихся гражданами Северной Кореи, чтобы проводить личные встречи с командой Drift.
Ситуация подчеркивает сложность современных атак на DeFi-проекты, когда злоумышленники используют социальную инженерию и многомесячное внедрение, чтобы обойти технические системы защиты.
