Lazarus Group (TraderTraitor) взломал Drift на $280 млн, используя уязвимость обновленного мультисига

Северокорейская хакерская группировка Lazarus (TraderTraitor) стоит за взломом DeFi-протокола Drift на сумму около $280 млн. К такому выводу независимо пришли эксперты Diverg, TRM Labs и Elliptic. Это та же команда, которая ранее атаковала Bybit ($1,5 млрд) и Ronin ($625 млн), что указывает на целенаправленную и хорошо финансируемую кампанию против криптоинфраструктуры.

Атака на Drift оказалась более изощренной, чем предполагалось изначально. 27 марта протокол обновил правила Совета безопасности, перейдя на схему мультиподписи 2 из 5 с мгновенным исполнением. Однако всего через три дня злоумышленник не просто скомпрометировал старую систему, а повторно взломал уже обновленный мультисиг, использовав механизм отложенной подписи для обхода новых защитных мер.

Подготовка к атаке началась еще 11 марта, что свидетельствует о длительной разведке и планировании. Успешный взлом обновленной системы безопасности протокола, который должен был стать более защищенным, демонстрирует высокий уровень технической подготовки Lazarus Group и создает серьезные риски для других DeFi-проектов, использующих аналогичные механизмы управления. Инцидент привлекает повышенное внимание регуляторов к уязвимостям в системах мультиподписи и отложенного исполнения в децентрализованных финансах.