sejournal.io

Северокорейские хакеры из группы Lazarus взломали протокол Drift и похитили 280 миллионов долларов. Эксперты компаний Diverg, TRM Labs и Elliptic установили, что за атакой стоит та же команда (известная как TraderTraitor), которая ранее атаковала Bybit (на 1,5 млрд долларов) и Ronin (на 625 млн долларов).

В отличие от первоначальных предположений разработчиков Drift, злоумышленник не просто один раз скомпрометировал мультиподпись. 27 марта протокол обновил правила безопасности, но всего через три дня хакер снова взломал новую мультиподпись и использовал механизм отложенного выполнения транзакции.

Подготовка к атаке началась 11 марта, когда хакер вывел 10 ETH через Tornado Cash. Средства прошли через цепочку одноразовых кошельков и кроссчейн-мостов. 12 марта злоумышленник создал 750 миллионов поддельных токенов CVT.

После взлома хакер конвертировал похищенные средства — 14,6 млн USDC и 99,8 WBTC — в примерно 13 150 ETH через протокол CoW Swap за 30 минут.

Все действия хакера были привязаны к рабочим часам в Пхеньяне и совершались только по будням, что соответствует поведенческому профилю Lazarus. В этой атаке группировка применила новую тактику: выпуск фальшивых токенов и манипуляцию данными оракула для завышения стоимости залога.

По данным Elliptic, это уже 18-я атака Lazarus с начала 2026 года. Напомним, что в марте эту группировку также подозревали во взломе криптовалютного сервиса Bitrefill.

Криптосервис Bitrefill сообщил о кибератаке, которую связывают с северокорейскими хакерами

1 марта 2026 года криптовалютный сервис Bitrefill подвергся хакерской атаке. По данным расследования, за инцидентом стоит северокорейская группировка Lazarus Group (подразделение BlueNoroff). Официальное заявление компания опубликовала 17 марта.

Как произошла атака:
Взлом начался с ноутбука сотрудника. Используя старые украденные учетные данные, злоумышленники получили доступ к системному «снимку» с важной информацией. Это позволило им повысить свои привилегии в системе и получить контроль над инфраструктурой, включая базы данных и криптокошельки.

Команда безопасности обнаружила атаку по подозрительным операциям с подарочными картами и переводам средств с горячих кошельков на адреса хакеров. После этого все системы были экстренно отключены.

Какие данные пострадали:
Хакеры получили доступ примерно к 18 500 записям о покупках. Утечка включает:
* Адреса электронной почты пользователей;
* Криптовалютные адреса;
* Метаданные, в том числе IP-адреса.

Около 1000 клиентов, которые указывали свои имена при покупке определенных товаров, также оказались под угрозой. Эти данные хранились в зашифрованном виде, но ключи шифрования могли быть скомпрометированы. Bitrefill уведомил этих пользователей. Данные для верификации личности не пострадали, так как хранятся у стороннего провайдера.

Последствия и меры:
Компания заявила, что покроет все финансовые потери клиентов за счет собственных средств. Работа сервиса уже полностью восстановлена.

К расследованию привлечены правоохранительные органы и эксперты по кибербезопасности. Bitrefill усилил защиту систем, внедрил дополнительные инструменты мониторинга и пересмотрел процедуры реагирования на инциденты.