Взрывной бум DeFi в Северной Корее на 577 миллионов долларов: Drift и Kelp взломаны за 18 дней.

Северокорейские государственные хакеры осуществили два крупнейших в истории эксплойта в сфере децентрализованных финансов за один месяц, выведя в общей сложности более 577 миллионов долларов из Drift Protocol и Kelp DAO. Аналитические блокчейн-компании, поставщики кроссчейн-инфраструктуры и независимые исследователи безопасности приписали обе атаки — с разной степенью уверенности — хакерским подразделениям, работающим под эгидой государственного аппарата Северной Кореи, что аналитики описывают как эскалацию скоординированной кампании против инфраструктуры DeFi.

Эксплойт Drift Protocol: Шестимесячное внедрение

1 апреля 2026 года злоумышленники вывели около 285 миллионов долларов из Drift Protocol — крупнейшей децентрализованной биржи бессрочных фьючерсов на Solana — что стало крупнейшим взломом в сфере DeFi на тот момент и вторым по величине эксплойтом в истории Solana после взлома моста Wormhole на 326 миллионов долларов в 2022 году. В отчете Drift (post-mortem) атака описывается как «готовившаяся шесть месяцев»; она с умеренной степенью уверенности приписывается UNC4736, северокорейскому государственному субъекту угроз, также известному как AppleJeus, Citrine Sleet и Gleaming Pisces — группе с задокументированной историей атак на криптовалютный сектор как минимум с 2018 года. Вектором атаки был не баг в смарт-контракте. Вместо этого использовалось сочетание социальной инженерии, манипуляций с управлением (governance) и специально созданного фальшивого токена:

• В период с декабря 2025 года по январь 2026 года оперативники под видом фирмы, занимающейся количественной торговлей, подключились к Ecosystem Vault на Drift, предоставили документацию по стратегии и внесли более 1 миллиона долларов собственного капитала для создания доверия.
• Злоумышленник создал фиктивный токен под названием CarbonVote (CVT) с минимальной ликвидностью и фальшивым объемом торгов, а затем манипулировал оракулами Drift, чтобы те признали его валидным залогом.
• В период с 23 по 30 марта злоумышленник получил подтверждение мультиподписи (2 из 5) от членов Совета безопасности Drift, обманом заставив их предварительно подписать вредоносные транзакции с использованием функции «durable nonce» в Solana, что позволило авторизациям оставаться неактивными до дня исполнения.
• При активации 1 апреля хранилища были опустошены примерно за 12 минут, причем большая часть украденных средств была переведена в сеть Ethereum через мосты в течение нескольких часов.
• Токен DRIFT упал более чем на 40% после эксплойта, а общая заблокированная стоимость (TVL) протокола рухнула с примерно 550 миллионов долларов до менее чем 250 миллионов долларов. Десятки протоколов Solana, имевших зависимости от Drift, приостановили работу.

Эксплойт Kelp DAO: Масштабное отравление инфраструктуры

18 апреля Kelp DAO — протокол ликвидного рестейкинга, направляющий пользовательские ETH через EigenLayer — стал жертвой эксплойта на 292 миллиона долларов, подтвержденного как работа поддерживаемой государством Северной Кореи группы Lazarus, в частности её подразделения TraderTraitor. Это превзошло Drift, став крупнейшим единичным DeFi-эксплойтом 2026 года. Злоумышленники скомпрометировали два узла RPC, на которые полагался верификатор LayerZero для подтверждения кроссчейн-транзакций, заменив программное обеспечение узлов вредоносными версиями, передающими ложные данные. Затем они запустили распределенную атаку типа «отказ в обслуживании» (DDoS) против оставшихся честных узлов, вынудив систему переключиться на скомпрометированные конечные точки. Это ввело верификатор LayerZero в заблуждение, заставив его одобрить мошенническую кроссчейн-транзакцию и выпустить 116 500 rsETH в пользу атакующих. LayerZero частично объяснила взлом собственной конфигурацией безопасности Kelp: протокол использовал схему верификации «1 из 1», что означало, что LayerZero Labs была единственной организацией, проверяющей сообщения, идущие через мост rsETH — конфигурация, о рисках которой LayerZero, по её словам, предупреждала ранее. Последствия быстро распространились по сектору DeFi:

• Эксплойт 18 апреля спровоцировал отток 10 миллиардов долларов из Aave на фоне опасений по поводу потенциальных безнадежных долгов.
• Общая заблокированная стоимость (TVL) во всей сфере DeFi упала примерно на 7% за 24 часа после атаки, снизившись с 99,5 млрд долларов до 86,3 млрд долларов.
• Несколько команд DeFi, включая Ethena, ether.fi, Tron DAO и Curve Finance, в ответ приостановили работу своих кроссчейн-мостов (omnichain fungible token bridges) на базе LayerZero.

Меняющаяся и растущая угроза

Одно и то же северокорейское подразделение за 18 дней вывело более 577 миллионов долларов из DeFi, используя два структурно разных вектора атаки: социальную инженерию лиц, подписывающих решения по управлению в Drift, и отравление инфраструктурных RPC-узлов в Kelp. Аналитики отмечают, что эксплойт Kelp сигнализирует об эволюции группы Lazarus: она выходит за рамки изолированных взломов, быстро переходя от социальной инженерии к эксплуатации структурных слабостей криптоинфраструктуры. Это указывает на устойчивую, управляемую государством кампанию, а не на разовые инциденты. Если атрибуция КНДР подтвердится для обоих инцидентов, общая сумма подтвержденных краж криптовалюты режимом за 2026 год превысит 600 миллионов долларов — средства, которые правительство США ранее связывало с оружейными программами Пхеньяна. С тех пор LayerZero объявила, что больше не будет подписывать сообщения для проектов, работающих с конфигурацией верификатора «1 из 1», и ускоряет миграцию на системы с несколькими децентрализованными сетями верификации (multi-DVN). Исследователи безопасности и разработчики протоколов призывают индустрию DeFi рассматривать временные блокировки управления (timelocks), эшелонированную защиту оракулов и избыточность кроссчейн-верификации как обязательные базовые требования, а не как опциональные настройки.

Опубликовано Coinplurk.com