Skip to content
RiverCore
12 протоколов взломано за 15 дней после эксплойта Drift на $280 млн
crypto protocols breachedDeFi exploitsocial engineeringDeFi hack wave 15 daysDrift Protocol $280M exploit attacks

12 протоколов взломано за 15 дней после эксплойта Drift на $280 млн

5 июл 20267 мин. чтенияSarah Chen

Двенадцать крипто-протоколов и компаний взломаны чуть более чем за две недели. Это примерно один инцидент каждые 28 часов в стеке DeFi и CeFi, начиная со следующего дня после эксплойта Drift Protocol на $280 миллионов 1 апреля. Для контекста: Q1 2026 года уже принёс $168,6 миллиона потерь из 34 протоколов, так что только это апрельское окно идёт в темпе, который превысит весь предыдущий квартал, если тенденция сохранится.

Инциденты не объединены единой тематикой. Одни связаны с манипуляцией оракулами, другие — с контролем доступа, третьи — с чистой социальной инженерией против людей, владеющих ключами. Их объединяют время атак и, как минимум в двух случаях, атрибуция.

Что произошло

Триггером стал Drift. Как сообщил CoinMarketCap, эксплойт Drift Protocol 1 апреля опустошил $280 миллионов через то, что следователи описывают как длительную атаку социальной инженерии, а власти подозревают причастность аффилированных с Северной Кореей структур. Это не история об уязвимости смарт-контракта. Это компрометация человека в цепочке, которая завершилась подписанными транзакциями.

Дальнейшее напоминает проработку списка целей на Q2. CoW Swap, Hyperbridge, Bybit, Dango, Silo Finance, Aethir, MONA, Zerion, Rhea Finance и Grinex — все они появились в этом списке. Два самых последних, Rhea и Grinex, вместе составляют около $21 миллиона.

Rhea Finance в четверг раскрыла, что злоумышленник атаковал её функцию маржинальной торговли через скоординированную манипуляцию пулом против смарт-контракта Rhea Lend. CertiK оценил потери примерно в $7,6 миллиона. Механизм, по данным CertiK: злоумышленник развернул поддельные токен-контракты, внёс ликвидность в новые пулы и использовал эти пулы для введения в заблуждение оракула протокола и слоя валидации.

В тот же день связанная с Россией биржа Grinex приостановила работу после взлома на $13,7 миллиона, который она приписала «недружественным государствам» без уточнения атрибуции. Ранее в том же месяце: Silo Finance потеряла $392 000 3 апреля из-за неправильно настроенного оракула, Aethir потеряла $423 000 9 апреля в результате эксплойта контроля доступа, а агрегатор мостов Dango потерял $410 000 13 апреля из-за уязвимости смарт-контракта. Инцидент с Zerion, наряду с Drift, приписывается аффилированным с КНДР группировкам, использующим социальную инженерию с применением ИИ для кражи учётных данных и средств.

Источник не раскрывает точный вектор атаки для CoW Swap, Hyperbridge, Bybit или MONA в этом кластере, что существенно: мы пока не можем определить, являются ли они вариантами той же кампании социальной инженерии или оппортунистическими подражателями, эксплуатирующими новостной цикл. Граница установлена атрибуцией: как минимум двое из двенадцати подтверждённо связаны с КНДР.

Техническая анатомия

В этом кластере доминируют три класса атак, которые соответствуют разным частям стека.

Первый — манипуляция оракулами и пулами. Rhea Finance — хрестоматийный пример: разворачиваются поддельные токен-контракты в стиле ERC, в новый пул вносится ликвидность, после чего этот пул используется как ценовой ориентир, которому доверяет оракул или логика валидации протокола. Если кредитный контракт считывает спотовую цену без граничных проверок или принимает пул как канонический без белого списка листинга, злоумышленник создаёт заёмную силу из тонкой ликвидности. Потеря Silo Finance в $392 000 относится к тому же классу — неправильно настроенный оракул, а не новый эксплойт-примитив. Собственная документация оракулов Chainlink предупреждала именно об этом паттерне на протяжении многих лет — в частности, об использовании неограниченных спотовых AMM-цен в качестве залоговых ориентиров.

Второй — контроль доступа. Потеря Aethir в $423 000 стала результатом эксплойта контроля доступа на децентрализованной платформе GPU-вычислений. Это скучный, высокочастотный класс: привилегированная функция без надлежащего модификатора, назначение роли, которое так и не было отозвано, ключ администратора с более широкими полномочиями, чем предполагала модель угроз. Это также класс, который статические анализаторы надёжно обнаруживают, поэтому каждый такой случай — это сбой процессов, а не нехватка знаний.

Третий, и именно он должен не давать спать CTO: социальная инженерия с применением ИИ. И Drift, и Zerion восходят к аффилированным с КНДР группировкам, использующим ИИ-инструментарий для извлечения учётных данных и средств. Это качественно отличается от уязвимости в Solidity. Поверхность атаки — это ваш конвейер найма инженеров, ваш Slack, ваш Telegram, ваши звонки в Zoom с поддельными кандидатами или поддельными аудиторами. Клонирование голоса и LLM-управляемая разговорная настойчивость превращают двухнедельную фишинговую операцию в двухдневную. Никакой объём формальной верификации на уровне контрактов не защитит от подписанта, которого с помощью социальной инженерии вынудили одобрить вредоносное обновление или перевести средства в мультисиг под контролем злоумышленника.

Моя оценка: окно от Drift до Rhea — не случайный кластер. Это то, что происходит, когда хорошо обеспеченная ресурсами группа параллельно применяет одну и ту же схему к списку целей, а эксплойты смарт-контрактов (Rhea, Silo, Aethir, Dango) создают информационный шум, прикрывающий более ценные компрометации на человеческом уровне.

Кто пострадает

Во главе списка подверженных рисков — кредитные и маржинальные протоколы с безразрешительным листингом. Схема сбоя Rhea — поддельный токен-контракт → новый пул → считывание оракула — обобщается на любой кредитный протокол, позволяющий пользователям создавать новые рынки или рассматривающий пул с низкой ликвидностью как допустимый источник цен. Если в вашем протоколе есть поверхность «добавить любой токен» и общий контракт оракула, стоит допустить, что вы уже в чьём-то списке целей в этом месяце.

Следующие — мосты и кросс-чейн агрегаторы. Потеря Dango в $410 000 невелика в долларовом выражении, однако мосты концентрируют стоимость и допущения о доверии, а появление Hyperbridge в списке кластера говорит о том, что категория активно сканируется. Прогноз на 90 дней для команд мостов: ожидайте переоценки страховых премий, требований от институциональных контрагентов о проведении новых аудитов и как минимум ещё одного инцидента до конца квартала.

Централизованные биржи подвержены риску по другой оси. И Bybit, и Grinex фигурируют в списке, а потеря Grinex в $13,7 миллиона с формулировкой «недружественные государства» говорит о том, что геополитическая атрибуция теперь является частью шаблона реагирования на инциденты, а не сноской. Биржи, хранящие горячие кошельки для маркет-мейкинга, — наиболее ценные единичные цели в экосистеме, и группировки КНДР исторически ставили их в приоритет.

Провайдеры инфраструктуры, такие как Aethir, оказываются в неудобном промежуточном положении. Долларовые потери скромны, но эксплойты контроля доступа на вычислительной платформе представляют собой риск для цепочки поставок каждой рабочей нагрузки, выполняющейся поверх неё. Если GPU-облако можно скомпрометировать за $423 000, вопрос не в самих потерях, а в том, что злоумышленник с root-доступом к инференс-инфраструктуре может сделать дальше. Источник не раскрывает, были ли затронуты рабочие нагрузки клиентов, а это — ключевая неизвестная для всех, кто строит на этом уровне.

Проверяемый прогноз: если этот паттерн сохранится, до конца Q2 2026 года мы должны увидеть как минимум три новых инцидента с атрибуцией к КНДР против целей DeFi или CeFi, а средние потери на инцидент в этом подмножестве должны превысить $50 миллионов.

Руководство для крипто- и DeFi-команд

На этой неделе, а не в следующем квартале, руководители направлений разработки и безопасности должны сделать четыре вещи.

Первое: проведите аудит конфигурации оракулов для любого рынка, где новый пул с низкой ликвидностью может влиять на ценовой фид. Если ваш кредитный контракт считывает спотовую цену из AMM без окна TWAP, порога ликвидности или белого списка листинга — это схема сбоя Rhea, и она эксплуатируема уже сегодня. Ограничьте считывание проверками здравого смысла, даже если вы доверяете вышестоящему фиду.

Второе: относитесь к конвейеру найма инженеров и онбординга вендоров как к поверхности атаки. Схема КНДР теперь включает ИИ-персонажей, выдерживающих многонедельные циклы собеседований. Требуйте очного или верифицированного видеофинального раунда для всех, кто будет иметь доступ к ключам подписи или производственной инфраструктуре. Считайте любое незапрошенное личное сообщение от «аудитора» или «исследователя безопасности» враждебным, пока не доказано обратное.

Третье: сократите радиус поражения от любого единственного подписанта. Если пороги вашего мультисига не пересматривались с момента последнего раунда финансирования, они устарели. Урок Drift состоит в том, что социальная инженерия не побеждает криптографию — она побеждает управление. Обновления с временной блокировкой, обязательные окна проверки привилегированных вызовов и разделение хранения ключей и их использования — всё это снижает ценность единственного скомпрометированного человека.

Четвёртое: проведите аудит контроля доступа. Класс эксплойта Aethir — самый дешёвый в предотвращении и наиболее часто игнорируемый. Каждая привилегированная функция, каждая роль, каждый ключ администратора. Slither, статические анализаторы и свежий взгляд обнаруживают большинство из них за один день.

Ключевые выводы

  • Двенадцать протоколов взломаны примерно за 15 дней после эксплойта Drift на $280 млн — темп, который превысит итоговые $168,6 млн Q1 2026 года по 34 протоколам, если сохранится.
  • Rhea Finance ($7,6 млн) и Grinex ($13,7 млн) обеспечили около $21 млн из последних потерь: Rhea — через манипуляцию оракулом с поддельными токенами, Grinex — с расплывчатой атрибуцией «недружественным государствам».
  • Drift и Zerion оба приписываются аффилированным с КНДР группировкам, использующим социальную инженерию с ИИ, что смещает основную поверхность атаки с Solidity на людей, владеющих ключами.
  • Небольшие инциденты (Dango $410 тыс., Silo $392 тыс., Aethir $423 тыс.) относятся к хорошо известным классам: уязвимости смарт-контрактов, неправильная настройка оракулов, контроль доступа. Все они — сбои процессов, а не новые примитивы.
  • Открытый вопрос с проверяемой границей: вектор атаки на CoW Swap, Hyperbridge, Bybit и MONA в этом кластере пока неизвестен. Если более половины из них окажутся связанными с социальной инженерией КНДР, речь идёт о скоординированной кампании, а не кластере.

Часто задаваемые вопросы

В: Что стало причиной эксплойта Rhea Finance?

По данным CertiK, злоумышленник провёл скоординированную манипуляцию пулом против смарт-контракта Rhea Lend, создав поддельные токен-контракты и внеся ликвидность в новые пулы. Эта поддельная ликвидность, по всей видимости, ввела в заблуждение оракул протокола и слой валидации, позволив злоумышленнику вывести около $7,6 миллиона через функцию маржинальной торговли.

В: Все ли двенадцать недавних крипто-эксплойтов связаны с Северной Кореей?

Нет. Только Drift Protocol и Zerion явно приписываются аффилированным с КНДР группировкам, использующим социальную инженерию с применением ИИ. Векторы атак для других инцидентов в кластере различаются: Silo Finance — неправильно настроенный оракул, Aethir — контроль доступа, Dango — уязвимость смарт-контракта, а Grinex был приписан самой биржей «недружественным государствам» без уточнений.

В: Сколько было украдено из DeFi-протоколов в 2026 году на сегодняшний день?

Злоумышленники похитили более $168,6 миллиона из 34 DeFi-протоколов в Q1 2026 года. Апрельская волна после эксплойта Drift на $280 миллионов существенно увеличивает эту цифру: только Rhea Finance и Grinex вместе составляют около $21 миллиона в последних потерях.

SC
Sarah Chen
RiverCore Analyst · Dublin, Ireland
ПОДЕЛИТЬСЯ
// ПОХОЖИЕ СТАТЬИ
ГлавнаяРешенияПроектыО насКонтакт
Новости06
Дублин, Ирландия · ЕСGMT+1
LinkedIn
🇷🇺RU