Сложная многоэтапная операция социальной инженерии, проведенная хакерами, спонсируемыми государством Северной Кореи, была определена как первопричина эксплойта на $285 млн в децентрализованном финансовом (DeFi) протоколе Drift, построенном на Solana. Согласно подробному расследованию компании по блокчейн-аналитике Elliptic, атака, произошедшая в октябре 2024 года, стала результатом не уязвимости смарт-контракта, а кульминацией терпеливой шестимесячной кампании, нацеленной на разработчика Drift. Хакеры, приписываемые Корейской Народно-Демократической Республике (КНДР), тщательно выстраивали доверие, прежде чем развернуть вредоносное программное обеспечение для получения несанкционированного доступа к чувствительным внутренним системам протокола и приватным ключам.
Данная операция является ярким примером методологии расширенных постоянных угроз (APT), используемой такими группами, как Lazarus. Злоумышленники вышли на контакт с разработчиком в апреле 2024 года, выдавая себя за легитимную венчурную компанию, заинтересованную в сотрудничестве. В течение последующих месяцев они вели обычные, технически детальные обсуждения протокола Drift, успешно устанавливая доверие. Ключевой момент наступил, когда атакующие поделились вредоносным файлом проекта Visual Studio Code. Как только разработчик открыл этот файл, был выполнен код, установивший трояна удаленного доступа (RAT), что предоставило хакерам постоянный контроль над системой разработчика и, что критически важно, доступ к чувствительным учетным данным и скриптам развертывания.
Получив точку опоры, злоумышленники смогли манипулировать процессом обновления протокола. Вероятно, они перехватывали или модифицировали транзакции, чтобы внедрить вредоносное обновление программы, которое перенаправляло средства пользователей. Эксплойт был выполнен быстро, в результате чего из пулов ликвидности протокола было выведено около $285 млн в цифровых активах. Этот инцидент подчеркивает критическую эволюцию киберугроз, сфокусированных на криптовалютах: хотя аудит кода и программы вознаграждения за баги остаются необходимыми, человеческий фактор все чаще становится основным вектором атаки. Изощренная социальная инженерия, нацеленная на ключевой персонал в течение длительных периодов, может обойти даже самые надежные технические меры безопасности.
Взлом Drift представляет собой одну из крупнейших краж криптовалют, напрямую связанных с кампанией социальной инженерии, и подтверждает продолжающуюся сосредоточенность КНДР на краже криптовалют для финансирования своего режима. Результаты расследования Elliptic были переданы соответствующим правоохранительным и регулирующим органам. Для проектов в пространстве Web3 эта атака служит суровым предупреждением. Позиции безопасности должны выходить за рамки аудита смарт-контрактов и включать всестороннее обучение операционной безопасности (OpSec) для всех членов команды, строгий контроль доступа, мультисигнатурные механизмы для развертываний и тщательную проверку всех внешних коммуникаций, особенно тех, которые связаны с передачей файлов или запросами привилегированного доступа.
