Кто и как украл у Drift 285 миллионов долларов? Ответ уже известен, и он точно вас удивит
NewsMakerПлан атаки вынашивали так долго, что успех был неизбежен.
Недавняя атака на криптоплатформу Drift, в результате которой злоумышленники похитили 285 миллионов долларов , оказалась не внезапным взломом, а итогом тщательно выстроенной операции, растянутой почти на полгода. За внешне обычными деловыми контактами скрывалась сложная схема внедрения, где доверие стало главным инструментом.
Drift, работающая на базе Solana, связала инцидент с северокорейской группой UNC4736, известной также под именами AppleJeus и Golden Chollima. По данным компании, подготовка атаки началась ещё осенью 2025 года. Люди, выдававшие себя за представителей трейдинговой фирмы, знакомились с участниками экосистемы на профильных конференциях и постепенно выстраивали рабочие отношения.
Контакты выглядели убедительно. Участники демонстрировали глубокое понимание рынка, имели проработанные легенды с опытом работы и активными профессиональными профилями. После первых встреч появилась группа в Telegram, где обсуждались интеграции и торговые стратегии. В декабре злоумышленники подключили собственный vault, вложив более миллиона долларов — шаг укрепил доверие и позволил закрепиться внутри экосистемы.
К началу 2026 года общение перешло к обмену инструментами и кодом. По одной из версий, один из разработчиков скомпилировал проект из переданного репозитория, где в конфигурации Visual Studio Code скрывался механизм автоматического запуска вредоносного кода. Другой участник загрузил тестовую версию криптокошелька через TestFlight. Оба сценария могли открыть доступ к инфраструктуре.
Недавняя атака на криптоплатформу Drift, в результате которой злоумышленники похитили 285 миллионов долларов , оказалась не внезапным взломом, а итогом тщательно выстроенной операции, растянутой почти на полгода. За внешне обычными деловыми контактами скрывалась сложная схема внедрения, где доверие стало главным инструментом.
Drift, работающая на базе Solana, связала инцидент с северокорейской группой UNC4736, известной также под именами AppleJeus и Golden Chollima. По данным компании, подготовка атаки началась ещё осенью 2025 года. Люди, выдававшие себя за представителей трейдинговой фирмы, знакомились с участниками экосистемы на профильных конференциях и постепенно выстраивали рабочие отношения.
Контакты выглядели убедительно. Участники демонстрировали глубокое понимание рынка, имели проработанные легенды с опытом работы и активными профессиональными профилями. После первых встреч появилась группа в Telegram, где обсуждались интеграции и торговые стратегии. В декабре злоумышленники подключили собственный vault, вложив более миллиона долларов — шаг укрепил доверие и позволил закрепиться внутри экосистемы.
К началу 2026 года общение перешло к обмену инструментами и кодом. По одной из версий, один из разработчиков скомпилировал проект из переданного репозитория, где в конфигурации Visual Studio Code скрывался механизм автоматического запуска вредоносного кода. Другой участник загрузил тестовую версию криптокошелька через TestFlight. Оба сценария могли открыть доступ к инфраструктуре.