Elliptic заявила в четверг, что эксплойт Drift Protocol на $285 млн, крупнейший в этом году, несет "множественные индикаторы" причастности спонсируемой государством хакерской группы КНДР.
Исследовательская компания конкретно указала на поведение в сети, методологии отмывания и сигналы на уровне сети, все из которых согласуются с предыдущими атаками, связанными с государством.
Drift Protocol, токен которого упал более чем на 40% до примерно $0,06 после взлома, является крупнейшей децентрализованной биржей бессрочных фьючерсов на блокчейне Solana.
"Если это подтвердится, этот инцидент станет восемнадцатым актом КНДР, который Elliptic отслеживала в этом году, с более чем $300 млн украденных на данный момент", - говорится в отчете.
"Это продолжение устойчивой кампании КНДР по краже криптоактивов в крупных масштабах, которую правительство США связывает с финансированием ее программ вооружений. Считается, что связанные с КНДР субъекты ответственны за кражу криптоактивов на миллиарды долларов в последние годы", - добавила Elliptic.
Несколькими часами ранее данные Arkham показали, что более $250 млн было переведено из Drift в промежуточный кошелек, затем на различные другие адреса.
В декабре отчет Chainalysis показал, что хакеры КНДР украли рекордные $2 млрд криптовалюты в 2025 году, включая взлом Bybit на $1,4 млрд, что представляет собой увеличение на 51% по сравнению с предыдущим годом. Министерство финансов США в прошлом месяце заявило, что Северная Корея использует украденные активы для финансирования программы оружия массового уничтожения страны.
Вместо того чтобы сосредоточиться на самом эксплойте, анализ Elliptic выделяет знакомый операционный паттерн. Деятельность выглядит "преднамеренной и тщательно спланированной", с ранними тестовыми транзакциями и заранее размещенными кошельками, предшествующими основному событию.
В отчете объясняется, что после выполнения средства были быстро консолидированы и обменены, переведены через цепочки и конвертированы в более ликвидные активы, отражая структурированный, повторяемый поток отмывания, предназначенный для скрытия происхождения при сохранении контроля.
Центральная проблема, отмечает Elliptic, заключается в модели учетной записи Solana. Поскольку каждый актив хранится на отдельном токен-счете, активность, связанная с одним субъектом, может выглядеть фрагментированной по нескольким адресам. Без связи между ними следователи рискуют увидеть "фрагменты деятельности атакующего, а не полную картину".
Именно здесь отчет Elliptic подчеркивает подход кластеризации, который связывает токен-счета обратно с единой сущностью, позволяя идентифицировать воздействие независимо от того, какой адрес проверяется. В инциденте, затрагивающем более десятка типов активов, этот взгляд на уровне сущности становится критическим.
Дело также подчеркивает, добавляет Elliptic в своем отчете, как отмывание стало по своей сути кросс-чейн. Средства переместились из Solana в Ethereum и далее, демонстрируя необходимость того, что Elliptic описала как "целостные кросс-чейн возможности отслеживания".
Источник: https://www.coindesk.com/business/2026/04/02/north-koreans-hackers-likely-behind-the-usd286-million-drift-protocol-exploit-elliptic
