Главные новости

Как хакеры из КНДР внедряются в криптопроекты: разбор атаки Drift Protocol на $280 млн

3 мая 2026, 19:57

23 просмотров

Новые угрозы в криптоиндустрии

Атаки на криптопроекты больше не ограничиваются поиском багов в смарт-контрактах. За последние годы сформировался новый класс угроз - атаки через сотрудников и доверенные процессы. Кейс Drift Protocol показал это на практике: проект потерял около $280 млн, при этом ни один критический баг в коде не стал причиной инцидента. За взломом стоит Lazarus Group - хакерская группировка, связанная с КНДР. Это важный сигнал для индустрии: безопасность DeFi теперь зависит от процессов и людей, а не только от качества кода.

Традиционные аудиты смарт-контрактов не защищают от инсайдерских угроз и социальной инженерии. Методы хакеров КНДР становятся всё изощрённее: они не взламывают код, а проникают в команды проектов.

Худший месяц для DeFi в истории по числу взломов

Основное понятие - инфильтрация в криптопроекты

Инфильтрация в криптопроекты - это метод, при котором злоумышленники не атакуют систему напрямую, а получают доступ через сотрудников, подрядчиков или партнеров. По словам Тейлор Монахан, специалисты, связанные с КНДР, могут годами работать внутри индустрии. Их опыт, навыки и участие в реальных проектах часто не вызывают подозрений, что делает такие атаки особенно опасными.

Речь идёт о системной стратегии, встроенной в экосистему крипторынка. Взлом криптопроекта через сотрудников может одновременно затрагивать несколько проектов и экосистемных партнёров.

Метод работы Lazarus Group: структура и стратегии

Ключевым оператором подобных атак считается Lazarus Group.

Хакеры поддерживаемые правительством КНДР внедряются в криптопроекты

Это сеть подразделений, финансируемых государством, работающих от фишинга до сложных многоэтапных операций. Главный принцип - долгосрочное выстраивание доверия. Атака может готовиться месяцами или даже годами.

Типичный сценарий включает:

Создание подставных компаний или инвестиционных структур
Участие в отраслевых конференциях и личных встречах
Попытки трудоустройства или интеграции в проекты
Передачу вредоносного ПО через «рабочие» файлы или приложения

Аналитика: Такая стратегия снижает риск обнаружения, потому что злоумышленники действуют внутри существующих процессов, маскируясь под легитимных участников.

Взлом LayerZero и KelpDAO на $292 млн

Пример атаки на Drift Protocol

В апреле 2026 года Drift Protocol на блокчейне Solana потерял ~$280 млн. По данным расследования, подготовка началась осенью 2025 года. Злоумышленники представлялись сотрудниками трейдинговой компании и регулярно встречались с командой проекта на конференциях в разных странах.

Подготовка и внедрение

Для усиления доверия они инвестировали более $1 млн в экосистему проекта.
Участвовали в обсуждении продукта и демонстрировали глубокое понимание работы протокола.
Поведение выглядело естественным: техническая подготовка, знание деталей.

Финальный этап атаки

Один сотрудник получил вредоносный файл под видом рабочего документа.
Другому предложили приложение, маскирующееся под криптокошелёк.
Результат: доступ к административным адресам, вывод ~$280 млн. При этом смарт-контракты остались нетронутыми.

Масштаб проблемы. Lazarus Group стоит за крупнейшими кражами

Lazarus Group стоит за крупнейшими криптоатаками последних лет. По оценкам, группировка похитила более $3 млрд. Ключевой фактор - человеческий фактор, ошибки в процессах и проверке контрагентов.

Год	Проект	Сумма	Метод
2025	Bybit	$1,4 млрд	Социальная инженерия + компрометация ключей
2022	Ronin Bridge	$625 млн	Взлом валидаторов (через сотрудника)
2021	Poly Network	$611 млн	Эксплойт смарт-контракта
2024	WazirX	$235 млн	Атака через мультисиг-кошелёк
2026	Drift Protocol	$280 млн	Инфильтрация в команду

Почему это меняет рынок DeFi

Долгое время безопасность в криптоиндустрии ассоциировалась с аудитами кода и защитой смарт-контрактов. Сейчас угроза смещается в сторону организационных процессов. Инфильтрация в криптопроекты требует принципиально иного подхода к защите.

Что должны делать проекты:

Усиливать контроль доступа и сегментацию прав (мультисиг, временные блокировки)
Внедрять процедуры проверки сотрудников и партнёров (KYC для ключевых ролей)
Повышать уровень операционной безопасности (OpSec): мониторинг необычной активности, изоляция окружения
Проводить регулярные тренинги по социальной инженерии

Атака на Drift Protocol - предупреждение для всей индустрии. Даже идеальный код не защищает от компрометации ключей или доступа через сотрудников. Это системная уязвимость, и игнорировать её больше нельзя.

FAQ

1. Как хакеры получили доступ к административным ключам?
Через заражение устройств сотрудников: один скачал вредоносный файл под видом документа, другой — приложение-кошелёк со шпионским ПО.

2. Почему атаку не обнаружили раньше?
Злоумышленники действовали изнутри, маскируясь под легитимных партнёров. Никаких подозрительных транзакций до момента вывода не было.

3. Какие меры защиты могут предотвратить подобные атаки?
Использование мультисиг-кошельков с временными задержками, строгая сегментация доступа, регулярные тренинги по кибербезопасности, проверка контрагентов.

4. Вернут ли средства?
Частично - через страховые фонды и программы возврата. Полный возврат маловероятен: средства уже отмыты через микшеры и мосты.

Напишите в комментариях:
Какие меры безопасности вы считаете критически важными против таких атак: технологии или контроль процессов?