» Elliptic предполагает, что за эксплойтом Drift Protocol на сумму $286 млн стоят северокорейские хакеры Дата публикации:03.04.2026, 12:15 281 281 Скопировать Поделись с друзьями! Компания Elliptic заявила в четверг, что крупнейшая в этом году атака на Drift Protocol, которая обошлась в 285 000 000 долларов, содержит «множественные признаки» причастности к ней хакерской группировки, спонсируемой государством Северной Кореи.
Исследовательская фирма указала, в частности, на поведение блокчейна, методы отмывания денег и сигналы на сетевом уровне, которые совпадают с предыдущими атаками, связанными с этим государством.
Drift Protocol, чей токен упал более чем на 40% до примерно 0,06 доллара после взлома, является крупнейшей децентрализованной биржей бессрочных фьючерсов на блокчейне Solana.
«Если это подтвердится, то данный инцидент станет 18-м случаем кражи активов криптовалют со стороны КНДР, зафиксированным в этом году Elliptic, при этом на данный момент украдено более 300 000 000 долларов, — говорится в отчете. — Это продолжение кампании КНДР по крупномасштабной краже активов криптовалют, которую правительство США связывает с финансированием северокорейских программ вооружений. Считается, что в последние годы субъекты, связанные с КНДР, несут ответственность за кражу активов криптовалют на миллиарды долларов», — добавили в Elliptic.
Несколькими часами ранее данные Arkham показали, что более 250 000 000 долларов были переведены из Drift на временный кошелек, а затем на различные другие адреса.
В декабре отчет Chainalysis показал, что хакеры из КНДР в 2025 году украли рекордные 2 000 000 000 долларов криптовалюты, включая взлом Bybit на сумму 1 400 000 000 долларов, что на 51% больше, чем в предыдущем году. В прошлом месяце Министерство финансов США заявило, что Северная Корея использует украденные активы для финансирования своей программы создания оружия массового уничтожения.
Вместо того, чтобы сосредоточиться на самой уязвимости, анализ Elliptic подчеркивает знакомую операционную схему. Действия выглядят «преднамеренными и тщательно спланированными», с ранними тестовыми транзакциями и заранее подготовленными кошельками, предшествующими основному событию.
В отчете поясняется, что после выполнения операции средства быстро консолидировались и обменивались, передавались между блокчейнами и конвертировались в более ликвидные активы, отражая структурированный, повторяющийся поток отмывания денег, призванный скрыть происхождение, сохраняя при этом контроль.
Elliptic отмечает, что главная проблема заключается в модели счетов Solana. Поскольку каждый актив хранится на отдельном токен-счете, активность, связанная с одним участником, может выглядеть фрагментированной по нескольким адресам. Без сопоставления этих данных следователи рискуют увидеть «фрагменты активности злоумышленника, а не полную картину».
Именно здесь в отчете Elliptic подчеркивается кластерный подход, который связывает учетные записи токенов с одной сущностью, позволяя выявлять уязвимости независимо от того, какой адрес проверяется. В случае инцидента, затрагивающего более десятка типов активов, такой подход на уровне сущности становится критически важным.
Как добавляет Elliptic в своем отчете, этот случай также подчеркивает, насколько отмывание денег стало межсетевым по своей сути. Средства перемещались из Solana в Ethereum и далее, демонстрируя необходимость в том, что Elliptic назвала «целостными возможностями отслеживания межсетевых операций».