Експерти з Diverg, TRM Labs та Elliptic дійшли висновку, що за атакою на DeFi‑протокол Drift на суму $280 млн стоїть північнокорейське угруповання Lazarus (TraderTraitor). Ця ж група раніше здійснювала напади на Bybit ($1,5 млрд) і Ronin ($625 млн).
1/10
Ми проводимо розслідування експлойту @DriftProtocol ($285M) з 1 квітня.
Разом із TRM Labs та Elliptic ми можемо підтвердити, що північнокорейська Lazarus Group (TraderTraitor) причетна. Та ж команда, що і за Bybit ($1.5B), Ronin ($625M). Була залучена.
Ось що показав наш незалежний ончейн…
— Diverg (@DivergSec) April 3, 2026
Зловмисник не просто одноразово скомпрометував мультипідпис, як спочатку вважали розробники проєкту, що постраждав.
27 березня Drift оновив правила Ради безпеки: для підтвердження транзакції були потрібні два підписи з п’яти, і виконання відбувалося миттєво. Проте вже через три дні зловмисник знову зламав новий мультисиг і застосував механізм відкладеного підпису.
Приготування до атаки
Хакер почав готуватися до нападу 11 березня. Тоді він вивів 10 ETH за допомогою Tornado Cash о 15:24 за пхеньянським часом. Кошти пройшли крізь ланцюжок одноразових гаманців і кросчейн‑мостів.
12 березня на адресу для емісії токенів надійшло 50 SOL, і до 09:58 за корейським часом зловмисник згенерував 750 млн підроблених монет CVT. Цю ж адресу застосовували й у мережі BSC. На неї перерахували 31,125 BNB через підписану транзакцію з MetaWallet, після чого кошти пішли тим же шляхом, що й Ethereum.
Попередні звіти невірно стверджували, що на фінансування нападу пішло 30 ETH з трьох виведень через Tornado Cash. Експерти з’ясували, що зловмиснику належала лише одна транзакція на 10 ETH. Інші дві були пов’язані з послугою отруєння адрес.
Виведення грошей
Після злому в Diverg відтворили повну схему виведення через відкритий API CoW Protocol. За 30 хвилин через вебінтерфейс CoW Swap зловмисник розмістив 10 замовлень, обмінявши $14,6 млн USDC і 99,8 WBTC приблизно на 13 150 ETH. Усі 10 транзакцій зафіксовані в блокчейні.
Вторинний гаманець-накопичувач отримав кошти з двох джерел: 390,86 ETH з Chainflip Vault і 846 000 USDC через Circle CCTP (згодом конвертовані у 397 ETH через CoW Protocol). Загалом 788 ETH перевели на утримувальну адресу.
Поведінковий шаблон
Усі підтверджені дії хакера прив’язані до робочих годин Пхеньяна і відбувалися лише в робочі дні.
Методи угруповання цілком збігаються з відомим профілем Lazarus: підготовка через Tornado Cash, соціальна інженерія (несправжні пропозиції роботи, як у випадку з Bybit SafeWallet), швидке переміщення коштів через декілька блокчейнів в Ethereum та утримання викрадених активів.
Проте цього разу зловмисники використали нову тактику: випустили підроблені токени CVT і підмінили дані оракула для штучного завищення вартості застави.
За відомостями Elliptic, злом Drift став уже 18‑ю атакою Lazarus з початку 2026 року.
Нагадаємо, у березні північнокорейське угруповання запідозрили в нападі на криптовалютний онлайн‑магазин Bitrefill.