Децентрализованная биржа Drift, работающая на блокчейне Solana, раскрыла, что атака 1 апреля 2026 года, приведшая к хищению $285 миллионов, стала кульминацией целенаправленной и тщательно спланированной операции социальной инженерии, проводившейся Корейской Народно-Демократической Республикой (КНДР) в течение шести месяцев, начиная с осени 2025 года. Это раскрытие подчеркивает критический сдвиг в ландшафте киберугроз, когда государственные акторы инвестируют значительное время и ресурсы в манипулирование человеческой психологией, чтобы обойти даже самые надежные технические средства защиты.
Данная операция является ярким примером модели продвинутой постоянной угрозы (APT), примененной в сфере децентрализованных финансов (DeFi). Вместо прямой атаки на код, операторы, связанные с КНДР, предположительно потратили месяцы на установление доверия и сбор разведданных. Вероятно, это включало создание фальшивых личностей, таких как разработчики, инвесторы или менеджеры сообществ, для проникновения в онлайн-сообщества Drift на платформах вроде Discord и Telegram. Через эти каналы они могли проводить разведку, выявлять ключевой персонал и изучать внутренние процедуры, чтобы создавать высоковнушающие фишинговые приманки. Конечной целью было обманом заставить сотрудника с привилегированным доступом нарушить протоколы безопасности, возможно, раскрыв учетные данные, одобрив malicious-транзакцию или установив вредоносное ПО.
Масштаб и терпение, проявленные в этой атаке, подчеркивают эволюционирующий и серьезный характер северокорейской киберугрозы, в частности, печально известной группы Lazarus, которая финансирует режим за счет краж криптовалют. Этот метод гораздо более ресурсоемок, чем эксплуатация публичной уязвимости в смарт-контракте, но предлагает потенциально более высокую награду за счет таргетирования человеческого фактора — самого слабого звена в любой цепочке безопасности. Для протоколов DeFi, которые гордятся прозрачным и неизменяемым кодом, этот инцидент служит суровым предупреждением: безопасность операций (OpSec) и обучение персонала не менее критичны, чем безупречный аудит смарт-контрактов. Протокол может быть математически безопасным, но все равно быть парализованным из-за единственной человеческой ошибки, спровоцированной искусным социальным инженером.
В ответ на этот инцидент Drift и экосистема Solana в целом вынуждены пересмотреть свои подходы к безопасности, выходящие за рамки чистой криптографии. Это будет включать внедрение строгих требований многофакторной аутентификации (MFA), регулярное проведение пентестов на устойчивость к социальной инженерии и установление четких протоколов коммуникации для проверки чувствительных запросов. Инцидент также усиливает призывы к более тесному сотрудничеству между проектами DeFi, компаниями по анализу блокчейна и международными правоохранительными органами для отслеживания и замораживания украденных средств across chains. Поскольку государства продолжают рассматривать казну DeFi как высокоценные цели, выживание индустрии будет зависеть не только от технологических инноваций, но и от построения "человеческого файрвола", устойчивого к многомесячной психологической войне.
