Только что прочитал отчет о инциденте Drift по тому $270 миллионному взлому в апреле, и честно говоря, уровень сложности здесь просто дикий. Это не был случайный взлом — речь идет о шести месяцев разведывательной операции группы, связанной с северокорейским государством, которая фактически внедрилась в протокол, прежде чем осуществить атаку.

Итак, как это произошло. Около осени 2025 года эти злоумышленники появились на крупной криптоконференции, выдавая себя за фирму по количественной торговле. У них были технические навыки, легитимный опыт и реальное понимание протокола Drift. В течение следующих нескольких месяцев они прошли через, казалось бы, обычный процесс регистрации — создали группу в Telegram, вели реальные разговоры о торговых стратегиях и интеграции сейфов, внесли более $1 миллиона своей собственной валюты и даже встретились с участниками Drift лицом к лицу на нескольких конференциях в разных странах в феврале и марте.

К моменту, когда они осуществили взлом 1 апреля, они уже почти полгода строили эти отношения. Такой уровень терпения характерен для немногих злоумышленников.

Сам взлом произошел через два хитрых вектора. Во-первых, они заставили людей скачать поддельное приложение кошелька через TestFlight, что обходит проверку безопасности Apple. Во-вторых, они использовали известную уязвимость в VSCode и Cursor, о которой сообщество безопасности предупреждало с конца 2025 года — по сути, просто открытие файла в редакторе могло без предупреждений выполнить произвольный код.

После компрометации устройств у них появился доступ к получению одобрений мультиподписей. Предварительно подписанные транзакции лежали без дела более недели, прежде чем были выполнены 1 апреля, — за минуту было выведено более $270 миллиона.

Следователи проследили это до UNC4736, также известной как AppleJeus или Citrine Sleet — той же группы, что стоит за атакой Radiant Capital. Интересно, что люди, которые действительно присутствовали на конференциях, не были гражданами Северной Кореи. Эти злоумышленники используют полностью сконструированные сторонние личности с вымышленной историей трудовой деятельности и профессиональными связями, созданными так, чтобы пройти проверку на благонадежность.

Что действительно тревожно в этом, так это более широкий вопрос, который он поднимает для DeFi. Если злоумышленники готовы тратить шесть месяцев и миллион долларов на создание легитимного присутствия, встречи с командами лично, внесение реального капитала и ожидание подходящего момента — какая модель безопасности вообще способна это поймать? Drift предупреждает другие протоколы о необходимости аудита контроля доступа и о том, что каждое устройство, подключенное к мультиподписной схеме, следует рассматривать как потенциальную цель. Но неприятная правда в том, что мультиподписное управление, на которое опирается большинство индустрии как на основной механизм безопасности, может иметь глубокие структурные слабости при столкновении с таким уровнем сложности.

Это тот тип инцидента, который заставляет переосмыслить, что вообще означает «безопасный» в масштабах.