Експерти пов’язали злам Drift на $280 млн із північнокорейською Lazarus
Північнокорейське угруповання Lazarus (TraderTraitor) стоїть за зламом DeFi‑протоколу Drift на $280 млн, встановили експерти Diverg, TRM Labs і Elliptic. Та ж команда раніше атакувала Bybit ($1,5 млрд) і Ronin ($625 млн).
1/10
Ми розслідуємо експлойт @DriftProtocol ($285M) з 1 квітня.
Ми можемо підтвердити разом із TRM Labs і Elliptic, що північнокорейська Lazarus Group (TraderTraitor). Та ж команда за Bybit ($1.5B), Ronin ($625M). Була залучена.
Ось що показало наше незалежне ончейн…
— Diverg (@DivergSec) April 3, 2026
Зловмисник не просто разово скомпрометував мультипідпис, як спершу припускали розробники постраждалого проєкту.
27 березня Drift оновив правила Ради безпеки: для підтвердження транзакції вимагалися дві підписи з п’яти, і виконання відбувалося миттєво. Однак уже за три дні зловмисник повторно зламав новий мультисиг і використав механізм відкладеного підпису.
Підготовка до атаки
Хакер почав готуватися до атаки 11 березня. Тоді він вивів 10 ETH за допомогою Tornado Cash о 15:24 за часом Пхеньяна. Кошти пройшли через ланцюжок одноразових гаманців і кросчейн‑мостів.
12 березня на адресу для емісії токенів надійшло 50 SOL, і до 09:58 за корейським часом зловмисник створив 750 млн фальшивих монет CVT. Ту саму адресу використовували й у мережі BSC. На неї зарахували 31,125 BNB через підписану транзакцію з MetaWallet, після чого кошти пішли тим самим маршрутом, що й Ethereum.
Попередні повідомлення помилково стверджували, що на фінансування атаки пішло 30 ETH із трьох виводів через Tornado Cash. Фахівці уточнили, що зловмиснику належала лише одна транзакція на 10 ETH. Дві інші були пов’язані із сервісом отруєння адрес.
Виведення коштів
Після зламу в Diverg відновили повну стратегію виведення через публічний API CoW Protocol. За 30 хвилин через вебінтерфейс CoW Swap зловмисник розмістив 10 ордерів, конвертувавши $14,6 млн USDC і 99,8 WBTC приблизно в 13 150 ETH. Усі 10 транзакцій підтверджені в блокчейні.
Вторинний гаманець-накопичувач отримав кошти з двох джерел: 390,86 ETH із Chainflip Vault і 846 000 USDC через Circle CCTP (згодом конвертовані у 397 ETH через CoW Protocol). У сумі 788 ETH пішли на утримувальну адресу.
Поведенковий профіль
Усі підтверджені дії хакера прив’язані до робочих годин Пхеньяна і здійснювалися лише у будні.
Методи угруповання повністю збігаються з відомим профілем Lazarus: підготовка через Tornado Cash, соціальна інженерія (фальшиві пропозиції роботи, як у випадку з Bybit SafeWallet), швидке проведення коштів через кілька блокчейнів в Ethereum та утримання викрадених активів.
Втім цього разу зловмисники застосували нову тактику: випустили фальшиві токени CVT і підмінили дані оракула для штучного завищення вартості застави.
За даними Elliptic, злам Drift став уже 18‑ю атакою Lazarus від початку 2026 року.
Нагадаємо, у березні північнокорейське угруповання запідозрили в атаці на криптовалютний інтернет‑магазин Bitrefill.