Атака на протокол DeFi Drift, в результате которой похитили $270 млн, оказалась не спонтанным взломом, а сложной шестимесячной операцией. По данным CoinDesk, за ней могут стоять северокорейские спецслужбы. Злоумышленники внедрились в сообщество проекта, выдав себя за легитимную торговую фирму.
Полгода на внедрение: тактика социальной инженерии
Вместо атаки на смарт-контракт хакеры выбрали долгосрочную инфильтрацию. Они создали правдоподобную легенду, представляясь сотрудниками торговой компании, и лично встречались с контрибьюторами Drift в разных странах, чтобы завоевать доверие. Для пущего правдоподобия они внесли в протокол $1 млн собственных средств.
Эта фаза подготовки заняла полгода. Лишь детально изучив внутренние процессы и убедившись в отсутствии подозрений, атакующие перешли к финальной стадии — дренажу средств. Ранее на этой неделе CoinDesk уже сообщал о факте эксплуатации уязвимости.
Подобные долгосрочные операции, сочетающие социальную инженерию и техническую экспертизу, становятся новым трендом в атаках на криптосектор, особенно со стороны государственных хакерских групп.
Эволюция угроз: от кода к социальной структуре проектов
Инцидент с Drift показывает, как меняются угрозы в DeFi. Атаки перестали быть чисто техническими. Теперь они включают глубокое погружение в социальную структуру проектов, что делает их крайне сложными для обнаружения традиционными аудитами безопасности. Злоумышленники действовали терпеливо, инвестируя время и ресурсы для максимального результата.
Предполагаемая причастность северокорейских спецслужб не удивляет. Группы вроде Lazarus давно известны изощрёнными атаками на криптоиндустрию для пополнения бюджета в обход санкций, и их методы постоянно совершенствуются.
Итоги взлома и новые требования к безопасности
Атака на Drift стала одним из крупнейших взломов 2024 года и ярким примером уязвимости не только кода, но и человеческого фактора. Она произошла на фоне роста TVL в DeFi, что делает протоколы ещё более привлекательными мишенями.
Этот случай заставляет пересмотреть подходы к безопасности. Стандартных аудитов смарт-контрактов и баг-баунти уже недостаточно. Проектам необходимы комплексные процедуры due diligence для крупных партнёров и контрибьюторов, а также обучение команд методам социальной инженерии.
Угроза теперь может месяцами маскироваться под легитимного инвестора, а доверие, основанное на личных встречах, больше не может быть единственным критерием надёжности. Готовы ли крупные DeFi-протоколы к подобному уровню терпеливой разведки?