Eksperci z Diverg, TRM Labs i Elliptic odkryli, że północnokoreańska grupa Lazarus (TraderTraitor) stoi za atakiem hakerskim na protokół DeFi Drift, wartym 280 milionów dolarów. Ten sam zespół zaatakował wcześniej Bybit (1,5 miliarda dolarów) i Ronin (625 milionów dolarów).
1/10
Badamy lukę w zabezpieczeniach @DriftProtocol (285 mln USD) od 1 kwietnia.
Możemy potwierdzić z TRM Labs i Elliptic, że w projekt zaangażowana była północnokoreańska grupa Lazarus (TraderTraitor). Ten sam zespół, który stoi za Bybit (1,5 mld USD) i Ronin (625 mln USD).
Oto, co pokazał nasz niezależny test łańcuchowy…
— Diverg (@DivergeSec) 3 kwietnia 2026
Atakujący nie złamał zabezpieczeń multi-podpisu po prostu jednorazowo, jak początkowo zakładali twórcy podatnego na ataki projektu.
27 marca Drift zaktualizował swoje zasady Rady Bezpieczeństwa, wymagając dwóch z pięciu podpisów do potwierdzenia transakcji, a realizacja transakcji była natychmiastowa. Jednak w ciągu trzech dni atakujący ponownie zhakował nowy mechanizm multisig i wykorzystał mechanizm opóźnionego podpisu .
Przygotowanie do ataku
Haker rozpoczął przygotowania do ataku 11 marca. Następnie o godzinie 15:24 czasu pjongjańskiego wypłacił 10 ETH za pomocą Tornado Cash. Środki zostały przelane za pośrednictwem łańcucha portfeli jednorazowych i mostów międzyłańcuchowych.
12 marca adres emisji tokena otrzymał 50 SOL, a do godziny 09:58 KST atakujący stworzył 750 milionów fałszywych monet CVT. Ten sam adres był również używany w sieci BSC. Został on zasilony kwotą 31 125 BNB za pośrednictwem podpisanej transakcji z MetaWallet, po czym środki przeszły tą samą drogą co Ethereum.
Wcześniejsze raporty błędnie twierdziły, że 30 ETH z trzech wypłat za pośrednictwem Tornado Cash zostało wykorzystane do sfinansowania ataku. Eksperci wyjaśnili, że tylko jedna transakcja na 10 ETH należała do atakującego. Pozostałe dwie były powiązane z usługą zatruwania adresów.
Wypłata środków
Po ataku Diverg przywrócił pełną strategię wypłat za pośrednictwem publicznegointerfejsu API protokołu CoW. W ciągu 30 minut atakujący złożył 10 zleceń za pośrednictwem interfejsu internetowego CoW Swap, konwertując 14,6 miliona USDC i 99,8 WBTC na około 13 150 ETH. Wszystkie 10 transakcji zostało potwierdzonych w blockchainie.
Dodatkowy portfel otrzymał środki z dwóch źródeł: 390,86 ETH z Chainflip Vault i 846 000 USDC za pośrednictwem Circle CCTP (później przekonwertowanego na 397 ETH za pośrednictwem protokołu CoW). Łącznie na adres holdingowy trafiło 788 ETH.
Profil behawioralny
Wszystkie potwierdzone działania hakera są powiązane z godzinami pracy w Pjongjangu i były przeprowadzane wyłącznie w dni robocze.
Metody stosowane przez grupę w pełni odpowiadają znanemu profilowi Lazarus: przygotowania za pośrednictwem Tornado Cash, inżynierii społecznej (fałszywe oferty pracy, jak w przypadku Bybit SafeWallet), szybkiego transferu środków pomiędzy wieloma blockchainami w Ethereum i zatrzymywania skradzionych aktywów.
Tym razem jednak atakujący zastosowali nową taktykę: wydali fałszywe tokeny CVT i zmienili dane wyroczni, aby sztucznie zawyżyć wartość zabezpieczenia.
Według Elliptic atak na Drift był 18. atakiem Lazarusa od początku 2026 roku.
Przypomnijmy, że w marcu podejrzewano, że północnokoreańska grupa zaatakowała internetowy sklep kryptowalutowy Bitrefill.