Динамичный мир криптовалюты давно стал магнитом как для инноваций, так и для незаконной деятельности. Одним из самых значительных инцидентов, недавно привлекших внимание индустрии, стало использование Drift Protocol, децентрализованной биржи бессрочных фьючерсов на блокчейне Solana. Этот инцидент, приведший к потере $286 миллионов, подозревается в связи с Корейской Народно-Демократической Республикой (КНДР), страной, печально известной своими киберпреступными действиями, направленными на финансирование государственных программ.
1 апреля 2026 года Drift Protocol подвергся серьезной атаке, которая не только выявила уязвимости, присущие системам децентрализованных финансов (DeFi), но и подчеркнула постоянную угрозу, исходящую от акторов, спонсируемых государством, в области цифровых активов. Сложность и точность атаки подчеркивают срочную необходимость в надежных мерах по соблюдению нормативных требований и продвинутых протоколах безопасности для защиты от таких угроз.
Понимание эксплойта Drift Protocol
Эксплойт Drift Protocol разворачивался с замечательной точностью и скоростью. Всего за час злоумышленники смогли выкачать большую часть ликвидности платформы, нацелившись на ее протокольные хранилища. Согласно компании по безопасности блокчейна PeckShield, нарушение было осуществлено посредством компрометации административных приватных ключей протокола, что предоставило злоумышленникам привилегированный доступ к выводу активов и изменению контроля.
Целевые хранилища и выкачивание активов
Злоумышленники сконцентрировались на трех основных хранилищах: JLP Delta Neutral, SOL Super Staking и BTC Super Staking. Наиболее значительная передача включала примерно 41,7 миллиона токенов JLP, стоимостью около $155 миллионов на тот момент. Кроме того, были украдены такие активы, как USDC, SOL, cbBTC и wBTC, что привело к резкому снижению общего заблокированного значения (TVL) Drift с примерно $550 миллионов до менее чем $250 миллионов. Этот инцидент стал крупнейшей хакерской атакой на DeFi в 2026 году и второй по величине в экосистеме Solana после эксплойта мостовой программы Wormhole на $326 миллионов в 2022 году.
Это нарушение не только подчеркивает уязвимости в платформах DeFi, но и демонстрирует критическую необходимость в усилении мер безопасности для предотвращения будущих инцидентов.
Отслеживание движения украденных средств
После эксплойта отслеживание движения украденных средств стало приоритетной задачей для следователей. Данные на блокчейне показали, что кошелек злоумышленника был создан примерно за восемь дней до нарушения и получил небольшую тестовую передачу из хранилища Drift. Это предполагает, что операция была тщательно спланирована и выполнена с точностью.
Методы отмывания через кросс-чейн
После эксплойта злоумышленники преимущественно использовали агрегатор децентрализованной биржи (DEX) на Solana для быстрого конвертирования украденных токенов в USDC. Эти средства затем были перемещены на блокчейн Ethereum, где они были конвертированы в ETH. Это использование кросс-чейн техник не только усложняет отслеживание незаконных средств, но и демонстрирует сложные методы, используемые киберпреступниками для сокрытия своих следов и избежания обнаружения.
Индикаторы вовлеченности КНДР
Компания по анализу блокчейнов Elliptic выявила несколько индикаторов, связывающих эксплойт с КНДР. Поведение на блокчейне, методы отмывания и индикаторы на уровне сети соответствуют техникам, наблюдаемым в предыдущих операциях, приписываемых северокорейским актерам. Считается, что атака на Drift Protocol была организована той же группой, ответственной за взлом Radiant Capital в октябре 2024 года, что еще больше укрепляет связь с КНДР.
Исторический контекст и шаблоны
Вовлеченность КНДР в киберпреступления, связанные с криптовалютами, насчитывает несколько лет, с оценками, предполагающими, что северокорейские акторы украли более $6,5 миллиардов в криптоактивах. Эти операции часто связывают с финансированием программ вооружения страны, как подчеркивает правительство США. Постоянный шаблон сложных кибератак демонстрирует значимость киберспособностей Северной Кореи и их влияние на глобальную финансовую безопасность.
Последствия для соответствия и регулирования
Эксплойт Drift Protocol подчеркивает критическую роль нормативных рамок и соблюдения правил в защите криптоэкосистемы. Поскольку акторы, спонсируемые государством, продолжают нацеливаться на криптоактивы, регуляторы и заинтересованные стороны индустрии должны сотрудничать для усиления мер безопасности и разработки эффективных стратегий смягчения рисков.
Усиление мер соответствия
Финансовые учреждения и криптосервисные провайдеры должны внедрять строгие протоколы Know Your Customer (KYC) и Anti-Money Laundering (AML) для идентификации и смягчения потенциальных рисков. Продвинутые аналитические решения на основе блокчейна, такие как предлагаемые Elliptic, играют важную роль в отслеживании незаконной деятельности и обеспечении соблюдения нормативных требований.
Кроме того, регулирующие органы должны работать над созданием всеобъемлющих рамок, которые учитывают уникальные вызовы, возникающие в децентрализованных финансах. Это включает в себя содействие международному сотрудничеству и обмену информацией для эффективной борьбы с трансграничными киберугрозами.
Реальные случаи и вызовы соответствия
Эксплойт Drift Protocol не является изолированным инцидентом. Похожие случаи киберпреступлений, связанных с криптовалютами, были зарегистрированы во всем мире, подчеркивая постоянные вызовы, с которыми сталкиваются команды по соблюдению нормативных требований в выявлении и смягчении таких угроз.
Взлом Radiant Capital
В октябре 2024 года платформа DeFi Radiant Capital стала жертвой взлома, приписываемого той же группе, связанной с КНДР, которая ответственна за эксплойт Drift Protocol. Злоумышленники использовали аналогичные техники для вывода активов, подчеркивая необходимость постоянного мониторинга и адаптации протоколов безопасности.
Компрометация цепочки поставок: пакет Axios npm
Другим примечательным примером является компрометация цепочки поставок пакета Axios npm, которая была приписана угрозе со стороны КНДР, известной как UNC1069. Этот инцидент подчеркивает разнообразные тактики, используемые актерами, спонсируемыми государством, от прямых эксплойтов платформ до компрометации цепочек поставок программного обеспечения.
Роль блокчейн-форензики в предотвращении преступлений
Блокчейн-форензика является важным инструментом в борьбе с киберпреступностью, связанной с криптовалютами. Анализируя данные на блокчейне, команды по соблюдению нормативных требований могут отслеживать движение незаконных средств, выявлять шаблоны поведения и связывать преступную деятельность с известными актерами угроз.
Продвинутые методы кластеризации
Продвинутая кластеризация Elliptic для Solana, например, автоматически связывает основные аккаунты со всеми связанными аккаунтами токенов, обеспечивая полную видимость сущности. Это позволяет командам по соблюдению нормативных требований проверять адреса, контролируемые злоумышленниками, и получать информацию о связанных адресах, тем самым улучшая разведку рисков и обнаружение воздействия.
Анализ кросс-чейн
Возможности анализа кросс-чейн жизненно важны для отслеживания средств, перемещающихся по различным блокчейнам. Поддерживая всеобъемлющее покрытие блокчейна, поставщики аналитических услуг могут гарантировать, что методы отмывания, такие как те, что наблюдаются в случае Drift Protocol, остаются полностью отслеживаемыми. Это способствует своевременному обнаружению и вмешательству, снижая риск дальнейшего рассеяния активов.
Практические последствия для команд по соблюдению нормативных требований
Эксплойт Drift Protocol служит сигналом тревоги для команд по соблюдению нормативных требований, отвечающих за защиту криптоэкосистемы. Следующие идеи могут помочь улучшить их подготовленность и реакцию на аналогичные инциденты:
- Примите надежные протоколы KYC и AML для эффективной идентификации и управления рисками.
- Используйте продвинутые аналитические решения на основе блокчейна для отслеживания незаконной деятельности на нескольких блокчейнах.
- Сотрудничайте с регулирующими органами, заинтересованными сторонами индустрии и международными партнерами для содействия обмену информацией и скоординированным ответам на киберугрозы.
- Постоянно мониторьте эволюционирующие ландшафты угроз и адаптируйте меры безопасности для противодействия новым тактикам, используемым киберпреступниками.
По мере роста и развития криптоиндустрии важность соблюдения нормативных требований и безопасности не может быть переоценена. Реализуя комплексные стратегии и используя продвинутые технологии, команды по соблюдению нормативных требований могут сыграть решающую роль в защите целостности криптоэкосистемы.