Северокорейские хакеры, поддерживаемые государством, потратили несколько месяцев на личное внедрение в команду протокола Drift, чтобы в итоге вывести $285 млн. По данным аналитической фирмы по безопасности, на долю таких группировок приходится 76% всех потерь от крипто-скамов и взломов в 2026 году, а общий объём похищенных средств с 2017 года достиг $6 млрд.
Как хакеры годами втирались в доверие к команде Drift
Злоумышленники действовали по схеме «долгой игры» (long con): они не просто взламывали код, а физически присутствовали на мероприятиях и встречах, выдавая себя за заинтересованных разработчиков или инвесторов. Постепенно северокорейские агенты входили в доверие к ключевым сотрудникам Drift, получая доступ к внутренним системам и приватным ключам. Финальный вывод средств произошёл после того, как хакеры получили контроль над мультиподписным кошельком протокола.
Ранее в апреле сообщалось, что КНДР похитила $12 млн через ИИ, что подтверждает системный характер атак северокорейских хакеров.
Масштаб угрозы: $6 млрд за семь лет и 76% убытков в 2026 году
Исследовательская фирма подчёркивает, что северокорейские хакеры стали доминирующей силой в крипто-преступности. С 2017 года они украли более $6 млрд, причём только в 2026 году на их счету 76% всех убытков от взломов и мошеннических схем. Эти средства идут на финансирование ядерной программы КНДР, что делает атаки не просто финансовым, но и геополитическим вызовом.
Схема «долгой игры» с личным внедрением становится новым стандартом: хакеры готовы ждать месяцы, чтобы обойти даже самые надёжные системы безопасности.
Почему DeFi-протоколы теперь под прицелом: от мостов к социальной инженерии
Инцидент с Drift — не единичный случай. Ранее северокорейские группировки, такие как Lazarus, атаковали мосты и централизованные биржи, но теперь они переключились на DeFi-протоколы с высоким TVL. Метод личного внедрения значительно сложнее технического взлома: он требует разведки, поддельных документов и длительного социального инжиниринга. Для инвесторов это означает, что даже прошедшие аудит безопасности проекты могут быть уязвимы, если их команда недостаточно проверяет новых участников.
Напомним, что потери от взломов криптопроектов превысили $630 млн в апреле, и атака на Drift стала одной из крупнейших в этом месяце.
Связь с Россией и СНГ в данном случае косвенная — северокорейские хакеры не нацелены на конкретный регион, однако русскоязычные пользователи DeFi-протоколов также находятся в зоне риска. Многие проекты, работающие с аудиторией из СНГ, не внедряют процедуры верификации ключевых сотрудников и контрагентов.
Что будет дальше: тотальная проверка или новые рекорды краж
Эксперты ожидают, что северокорейские хакеры усилят атаки на DeFi-протоколы, используя как технические эксплойты, так и методы социальной инженерии. Единственный способ защиты — тотальная проверка всех участников команды и многофакторная аутентификация с аппаратными кошельками, но даже это не даёт 100% гарантии.