Північнокорейське хакерське угруповання Lazarus (TraderTraitor) несе відповідальність за експлойт DeFi-протоколу Drift на суму $280 млн, з’ясували аналітики Diverg, TRM Labs та Elliptic. Раніше ця ж група атакувала Bybit (на $1,5 млрд) і Ronin (на $625 млн).
1/10
Ми вивчаємо експлойт @DriftProtocol ($285M) з 1 квітня.
Спільно з TRM Labs та Elliptic, ми можемо підтвердити причетність північнокорейської Lazarus Group (TraderTraitor). Ця ж команда стояла за Bybit ($1.5B), Ronin ($625M). Була залучена.
Ось що показав наш незалежний ончейн…
— Diverg (@DivergSec) April 3, 2026
Зловмисник не просто одноразово скомпрометував мультипідпис, як спочатку вважали розробники постраждалого проєкту.
27 березня Drift змінив правила Ради безпеки: для підтвердження транзакції потрібні були два підписи з п’яти, і виконання відбувалося моментально. Однак, вже через три дні зловмисник знову зламав новий мультисиг і скористався механізмом відкладеного підпису.
Підготовка до нападу
Хакер почав готуватися до нападу 11 березня. Тоді він вивів 10 ETH через Tornado Cash о 15:24 за пхеньянським часом. Кошти пройшли через низку одноразових гаманців і міжмережеві мости.
12 березня на адресу для випуску токенів надійшло 50 SOL, і до 09:58 за корейським часом зловмисник створив 750 млн фіктивних монет CVT. Ця ж адреса використовувалася і в мережі BSC. На неї переказали 31,125 BNB через підписану транзакцію з MetaWallet, після чого кошти пройшли тим самим шляхом, що й Ethereum.
Попередні повідомлення невірно стверджували, що на фінансування нападу пішло 30 ETH з трьох виведень через Tornado Cash. Експерти з’ясували, що зловмиснику належала лише одна транзакція на 10 ETH. Дві інші були пов’язані з сервісом отруєння адрес.
Виведення грошей
Після злому в Diverg відновили повну стратегію виведення через публічний API CoW Protocol. За 30 хвилин через веб-інтерфейс CoW Swap зловмисник розмістив 10 ордерів, обмінявши $14,6 млн USDC і 99,8 WBTC приблизно на 13 150 ETH. Усі 10 транзакцій підтверджені в блокчейні.
Вторинний гаманець-накопичувач отримав кошти з двох джерел: 390,86 ETH з Chainflip Vault і 846 000 USDC через Circle CCTP (пізніше обміняні на 397 ETH через CoW Protocol). Загалом 788 ETH були переведені на утримувальну адресу.
Поведінковий шаблон
Усі підтверджені дії хакера прив’язані до робочого часу Пхеньяна і відбувалися тільки в будні дні.
Методи угруповання повністю співпадають з відомим профілем Lazarus: підготовка через Tornado Cash, соціальна інженерія (фальшиві пропозиції роботи, як у випадку з Bybit SafeWallet), швидке переведення коштів через декілька блокчейнів в Ethereum та утримання викрадених активів.
Однак цього разу зловмисники використали нову тактику: випустили фіктивні токени CVT і підмінили дані оракула для штучного завищення вартості застави.
За інформацією Elliptic, злом Drift став вже 18-ю атакою Lazarus з початку 2026 року.
Нагадаємо, у березні північнокорейську групу запідозрили в атаці на криптовалютний інтернет-магазин Bitrefill.