Хакери з Північної Кореї ймовірно відповідальні за експлойт Drift Protocol на суму $286 млн: Elliptic

Elliptic повідомив у четвер про $285 мільйонів Drift Protocol експлуатація, найбільша цього року, має «численні ознаки» причетності державної хакерської групи КНДР, що фінансується Північною Кореєю.

Дослідницька компанія конкретно вказала на поведінку в ланцюжку блоків, методології відмивання коштів та сигнали на рівні мережі, які всі відповідають попереднім атакам, пов’язаним зі державою.

Drift Protocol, токен якого впав більш ніж на 40% до приблизно $0,06 після хакерської атаки, є найбільшою децентралізованою біржею постійних ф’ючерсів на блокчейні Solana.

«Якщо це підтвердиться, цей інцидент стане вісімнадцятим актом КНДР, зафіксованим Elliptic цього року, з понад 300 мільйонами доларів, викраденими на даний момент», – йдеться у звіті.

«Це є продовженням тривалої кампанії КНДР із масштабного викрадення криптоактивів, яку уряд США пов’язує з фінансуванням її військових програм. Вважається, що пов’язані з КНДР суб’єкти відповідальні за крадіжку криптоактивів на суму мільярдів доларів за останні роки», — додала компанія Elliptic.

Годинами раніше, Дані Arkham показали, що понад 250 мільйонів доларів було переміщено з Drift до тимчасового гаманця, а потім до різних інших адрес.

У грудні, a Звіт Chainalysis виявив Хакери КНДР викрали рекордні 2 мільярди доларів у криптовалюті у 2025 році, включно з витоком на 1,4 мільярда доларів з Bybit, що становить збільшення на 51% порівняно з попереднім роком. Міністерство фінансів США минулого місяця заявили, що Північна Корея використовує викрадені активи для фінансування програми країни з масового знищення озброєнь.

Замість того, щоб зосереджуватися на самому експлойті, аналіз компанії Elliptic підкреслює знайомий операційний шаблон. Активність виглядає «запланованою та ретельно спланованою», з ранніми тестовими транзакціями та заздалегідь розташованими гаманцями, що передують основній події.

У звіті пояснюється, що після виконання операцій кошти було швидко консолідовано та обміняно, перекинуто через ланцюги і конвертовано у більш ліквідні активи, що відображає структурований, повторюваний процес відмивання, спрямований на приховання походження при збереженні контролю.

Головною проблемою, зазначає Elliptic, є модель облікових записів Solana. Оскільки кожен актив зберігається в окремому токен-акаунті, активність, пов’язана з одним учасником, може здаватися розпорошеною по кількох адресах. Без їх зв’язування слідчі ризикують бачити «фрагменти активності злочинця, а не повну картину.»

Саме тут у звіті Elliptic підкреслюється підхід до кластеризації, який дозволяє пов’язати токен-рахунки з єдиною сутністю, що дає змогу виявляти експозицію незалежно від того, яка адреса перевіряється. У випадку, що стосується понад десятка типів активів, цей погляд на рівні сутності стає критично важливим.

У своїй доповіді Elliptic також підкреслює, як відмивання коштів стало внутрішньо крос-чейновим процесом. Кошти переміщуються з Solana на Ethereum та далі, що свідчить про потребу в тому, що Elliptic назвала «цільовими можливостями крос-чейнового відстеження».