Северокорейские хакеры взломали криптобиржу Drift и украли 280 миллионов долларов

О похищении денег объявили 1 апреля и это оказалась не шутка. Но интереснее всего то, как они это сделали. Взлом начался полгода назад и это просто криминальное кино. Скорее всего про это реально снимут фильм.

Перескажу вкратце. Можете почитать статью, опубликованную командой Drift на X:

Осенью 2025 года, на одной из конференций, с командой дрифта познакомились представители конторы, торгующей криптой. Предложили сотрудничество в рамках протокола дрифт, хотели вложиться в их компанию, интегрировать какие-то свои проекты и т.д.

В итоге они создали чат в ТГ, начали общаться по проекту, много раз встречались за это время лично. Разумеется, их бэкграунд проверили и все было ок. Реальная фирма, реальные люди, реальные продукты и сервисы.

На каком-то этапе эта фирма даже вложила 1 миллион баксов в дрифт. И помимо этого, разрабатывала реальные сервисы в их экосистеме.

В процессе рабочего общения, двое сотрудников клонировали репозитории одного из проектов этой фирмы на свои рабочие компьютеры

По счастливому стечению обстоятельств, эти же сотрудники были членами совета безопасности дрифт и владельцами холодных кошельков с правом подписи разных интересных вещей в протоколе. Например, смены админских прав.

И так уж получилось, что они оказались настолько, кхм... безответственными, что подключили свои холодные кошельки (ledger или аналог) к компам, на которые клонировали репозитории хакеров.

И самое забавное - для смены административных прав было достаточно 2/5 подписей совета безопасности. Две подписи из пяти. Две. Подписи. Сука. Из пяти. И никакой паузы после подписи на случай взлома. Всё исполняется сразу же.

Как итог, за несколько минут админские права были изменены, и хакеры начали выводить бабки клиентов. Вывели 280 лямов пока до команды дрифт доперло, что происходит. Прогнали их через несколько децентрализованных бирж, которые не заморозили это все, хотя могли. Подумаешь - ничего необычного, просто дрифт переводит всю крипту из своих холодных кошельков непонятно куда.

В итоге, как и со всеми взломами, эти бабки теперь лежат на конечных кошельках, куда они ушли, и никто и никогда к ним не притронется.

В чем смысл этого взлома не ясно, т.к. денег они не получат. Как только они их переведут на даже самую мутную биржу, чтобы обменять на фиат, их сразу же заморозят. По той же причине, продать их в реале никому тоже не получится.

Учитывая, что это северокорейские хакеры, скорее всего они и не планировали богато жить на эти деньги, а просто взломали, чтобы сделать гадость.

Вывод:

Не храните крипту на биржах и не думайте, что если у вас есть аппаратный холодный кошелек, то всё окей. Его нельзя подключать к компу, на который ты качаешь что попало.

Еще лучше вообще не хранить бабки в крипте, потому что после этого инцидента выяснилось, что там целая сеть северокорейских хакеров работает на кучу крипто компаний.

Началась буквально охота на спящих агентов дядюшки Кима, а при приеме азиатов на работу их начали просить оскорбить вождя Кима. И это реально работает - у них внезапно пропадает связь на звонке, собака перегрызает провод, начинается землетрясение и т.д.

Это просто умора, рекомендую:

Отдельное спасибо Картошке за видео: