Հյուսիսային Կորեայի կրիպտո հաքերային հարձակումների մասին զեկույց 2026. Ինչու՞ են Drift Protocol-ի և KelpDAO-ի շահագործումները հանգեցրել կորուստների 76%-ի

Հիմնական տուփեր.

• Հյուսիսային Կորեայի գործող անձինք այժմ նախընտրում են կամուրջների և կառավարման վրա բարձր ազդեցություն ունեցող վիրաբուժական հարվածներ, որոնք 2026 թվականի սկզբին կազմում են համաշխարհային կրիպտո հաքերային կորուստների 76%-ը։ 
• TraderTraitor-ի նման ենթախմբերը սոցիալական ինժեներիան միավորում են ենթակառուցվածքային դիվերսիան, ինչի ապացույցն են 577 միլիոն դոլարի Drift և KelpDAO շահագործումները։
• Այս ճշգրիտ սպառնալիքներին հակազդելու համար անհրաժեշտ է անցում ստատիկ սև ցուցակներից իրական ժամանակի KYT-ի և վերլուծությունների՝ միջոցների անհետացումից առաջ փուլերը հայտնաբերելու և ելքի կետերը սառեցնելու համար։

Թվային ակտիվների արդյունաբերությունը 2026 թվականին հասավ սարսափելի իրողության։ Պետության կողմից հովանավորվող կիբեռպատերազմը մշտական ​​​​ֆոնային աղմուկից վերածվել է համաշխարհային կրիպտոարժույթների կորուստների հիմնական շարժիչ ուժի։ 

Վերջին բացահայտումները TRM լաբորատորիաներ ուշադրության կենտրոնում է հայտնվել մի ապշեցուցիչ միտման վրա։ Միայն 2026 թվականի առաջին չորս ամիսներին հյուսիսկորեական հաքերային խմբերը պատասխանատու էին 76% - ը կրիպտոարժույթի կոտրում կորուստները գլոբալ մակարդակովԹեև միջադեպերի ընդհանուր թիվը մնում է ցածր, դրանց ճշգրտությունն ու մասշտաբը աննախադեպ են, իսկ 2017 թվականից ի վեր կուտակային գողությունները այժմ գերազանցում են $ 6 մլրդ նշագծել.

Նոր ձեռնարկ. Ճշգրտություն հաճախականության նկատմամբ

Տարիներ շարունակ հյուսիսկորեական հաքերային հարձակումների շուրջ պատմությունը կենտրոնացած էր ծավալի վրա: Այսօր տվյալները բացահայտում են մարտավարական զարգացում: Լայն ցանց նետելու փոխարեն, էլիտար խմբերը կատարում են մի քանի բարձր ազդեցության վիրաբուժական վիրահատություններ: 

2026 թվականի ապրիլին տեղի ունեցավ ընդամենը երկու միջադեպ՝ Drift արձանագրություն հարձակումը և KelpDAO շահագործում - հաշվի է առնվել $ 577 միլիոն կորուստներով։ Այս երկու իրադարձությունները կազմում էին տարվա ընթացքում հաքերային հարձակումների ընդհանուր դեպքերի ընդամենը 3%-ը, բայց հանգեցրին ընդհանուր կորստի ավելի քան երեք քառորդին։ Այս տեղաշարժը ազդարարում է բարձր բարդության թիրախների՝ խաչաձև կամուրջների և բազմա-ստորագրային կառավարման համակարգերի ուղղությամբ անցման մասին։

The Drift Protocol Heist. Սոցիալական ճարտարագիտության վարպետության դաս

Drift Protocol-ից 285 միլիոն դոլարի գողությունը վարպետության դաս էր կորպորատիվ մակարդակի ներթափանցում. 

Ներթափանցում. Մարդկային տարր 

Ամիսներ շարունակ անհատները, որոնք ներկայանում էին որպես օրինական մշակողներ և ինստիտուցիոնալ գործընկերներ, հարաբերություններ էին կառուցում Drift թիմի հետ։ Այս պրոքսիները տեխնիկապես ազատ էին և բարձր պրոֆեսիոնալիզմի տեր, ինչը թույլ էր տալիս նրանց ինտեգրվել արձանագրության սոցիալական կառուցվածքին։ Տեխնիկական հարձակման սկսվելուն պես հարձակվողներն արդեն վայելում էին այն մարդկանց վստահությունը, ովքեր պետք է պահպանեին պահոցը։

Փուլ 1. Ֆանտոմային ակտիվի ստեղծում (մարտի 11) 

Թվային բեմադրությունը պաշտոնապես սկսվեց մարտի 11-ին: Փհենյանի ժամանակով ուղիղ ժամը 9:00-ին հարձակվողները Tornado Cash-ից տեղափոխեցին 10 ETH՝ իրենց ենթակառուցվածքները ֆինանսավորելու համար: Նրանց առաջին քայլը «ստեղծելն» էր՝ անունով մի ֆիկտիվ ակտիվ: Ածխածնային քվեարկության տոկեն (CVT).

Արտաքինից նայողի համար CVT-ն թվում էր զարգացող նախագիծ։ Հարձակվողները մի քանի հազար դոլար են ներդրել Raydium-ի իրացվելիության ֆոնդերում և օգտագործել են լվացման առևտրի բոտեր՝ ծավալի կեղծ պատմություն ստեղծելու համար։ Նրանք շաբաթներ շարունակ ստեղծել են մոտավորապես 1.00 դոլարի «շուկայական գին»։ Drift-ի գնային գուշակները՝ անպատրաստ լինելով մանիպուլացված ակտիվի՝ զրոյական իրական օգտակարությամբ, բռնել են այս ազդանշանը և սկսել են CVT-ն դիտարկել որպես օրինական գրավ։

Փուլ 2. «Դիմացկուն Nonce» ծուղակը (մարտի 23-30) 

Հարձակվողները կենտրոնացել էին Սոլանայի մի առանձնահատկության վրա, որը կոչվում է դիմացկուն նոնսներՍովորաբար, Սոլանայի գործարքի ժամկետը լրանում է մոտ 90 վայրկյանում: Երկարակյաց նոնսը թույլ է տալիս նախապես ստորագրել գործարքը և անորոշ ժամանակով պահել այն՝ հետագայում հեռարձակելու համար: Օգտագործելով իրենց սոցիալական դիրքը՝ հարձակվողները դրդել են Դրիֆտի Անվտանգության խորհրդի անդամներին նախապես ստորագրել թվացող սովորական վարչական գործարքներ: Իրականում դրանք «մաքուր չեկեր» էին: Քանի որ դրանք ստորագրվել էին երկարակյաց նոնսներով, հարձակվողները պահպանել են այդ լիազորությունները՝ ինչպես լիցքավորված զսպանակներ:

Փուլ 3. Կազմաձևման ճակատագրական փոփոխություն (մարտի 27) 

Մարտի 27-ին Դրիֆթը կատարեց ռազմավարական քայլ, որը ռիսկը վերածեց աղետի: Արձանագրությունը իր Անվտանգության խորհուրդը տեղափոխեց նոր 2/5 շեմային կոնֆիգուրացիայի և սահմանեց ժամանակի կողպեքը զրոյի վրաDeFi արձանագրությունների մեծ մասում «ժամանակի կողպեքը» գործում է որպես սառեցման ժամանակահատված, որը թույլ է տալիս համայնքին ստուգել և «կանգնեցնել» գործողությունը: Հեռացնելով այն՝ Drift-ը վերացրեց միակ ժամանակային պատուհանը, որը նրանք ունեին խարդախ գործարքը բռնելու համար, նախքան այն վերջնական կդառնար:

Փուլ 4. 12 րոպեանոց կատարում (ապրիլի 1) 

Ապրիլի 1-ին հարձակվողները շարժվեցին սարսափելի արագությամբ.

1. Ավանդը. Նրանք Drift-ում ներդրեցին հարյուր միլիոնավոր «անարժեք» CVT տոկեններ։
2. Մանիպուլյացիան. Քանի որ գուշակները կարծում էին, որ CVT-ն արժե 1.00 դոլար, համակարգը գրանցեց գրավի զանգվածային հոսք։
3. Ջրահեռացման խողովակը. Մարտ ամսից նախապես թույլատրված «բլանկ չեկերը» օգտագործելով՝ նրանք անմիջապես բարձրացրին դուրսբերման սահմանաչափերը։

Ընդամենը 12 րոպե, նրանք իրականացրին 31 նախապես ստորագրված դուրսբերում՝ կեղծ գրավի դիմաց փոխառելով իրական ակտիվներ, ինչպիսիք են USDC-ն և JLP-ն։ Միջոցները կամուրջ կազմեցին Ethereum-ի հետ, նախքան Drift թիմը կհասցներ արձագանքել։

KelpDAO-ի շահագործումը. կամրջի ենթակառուցվածքի սաբոտաժը

Մինչդեռ Drift հաքը հիմնված էր սոցիալական ինժեներիայի վրա, $ 292 միլիոն KelpDAO-ի շահագործումը տեխնիկական հարված էր խաչաձև ջրամատակարարման ենթակառուցվածք.

Խոցելիությունը. Միակ ստուգիչի թուլությունը 

KelpDAO-ն իր rsETH տոկենի համար օգտագործել է LayerZero կամուրջ։ Ծախսերը կամ բարդությունը խնայելու համար կամուրջը կարգավորվել է «մեկ ստուգիչի» դիզայնով։ Սա նշանակում էր, որ ամբողջ համակարգը հենվում էր ճշմարտության մեկ աղբյուրի՝ LayerZero Labs-ի ապակենտրոնացված ստուգիչի ցանցի (DVN) վրա՝ հաստատելու համար, որ ակտիվները տեղափոխվել կամ այրվել են։ Երկրորդ կարծիք չկար։

Կարգավորումը. Ջրհորի թունավորումը 

Հարձակվողները նույնականացրել և վնասել են KelpDAO-ի երկու ներքին RPC հանգույցները։ RPC հանգույցները, ըստ էության, բլոկչեյն հավելվածի «ականջներն» են։ Դրանք ծրագրին տեղեկացնում են, թե ինչ է կատարվում ցանցում։ Ներսում հայտնվելուց հետո հաքերները հանգույցի ծրագիրը փոխարինել են «թունավորված» տարբերակով։ Այս տարբերակը ծրագրավորված էր ստելու՝ հաղորդելով, որ rsETH-ն այրվել է աղբյուրի շղթայում, նույնիսկ երբ նման գործարք գոյություն չի ունեցել։

Կատարումը. DDoS-ը և Failover-ը (ապրիլի 18) 

Ապրիլի 18-ին հարձակվողները սկսեցին զանգվածային DDoS (Distributed Denial of Service) հարձակում առողջ, արտաքին RPC հանգույցների դեմ, որոնց կամուրջը սովորաբար լսում էր։ Երբ առողջ հանգույցները մարեցին, կամրջի ստուգիչը հետևեց դրա անվտանգության արձանագրությանը. այն «ձախողվեց» միակ հանգույցների վրա, որոնք դեռ արձագանքում էին, այսինքն՝ վարակված ներքին հանգույցների։

Թունավորված հանգույցները ստուգիչին տվեցին կեղծ պատմություն։ Ստուգիչը, տեսնելով «ապացույց» իր միակ հասանելի աղբյուրից, հաստատեց խարդախ խաչաձև հաղորդագրությունը։ Սա թույլ տվեց հարձակվողներին կորցնել իրենց ուժերը։ 116,500 ռԷԹՀ Ethereum կամրջի պայմանագրից։

Խճճված փախուստ 

Ի տարբերություն հանգիստ Դրիֆթի հարձակվողների, KelpDAO խումբը՝ նույնականացված որպես Առևտրական-դավաճան ենթախումբ՝ սխալներ թույլ տվեցին։ Նրանք 75 միլիոն դոլարի ETH թողեցին Arbitrum-ում՝ կենտրոնացված 2-րդ մակարդակում։ Սա Arbitrum-ի անվտանգության խորհրդին բավարար ժամանակ տվեց արտակարգ լիազորություններ իրականացնելու և միջոցները սառեցնելու համար։

Սառեցումը հանգեցրեց «խելագար իրարանցման»։ Հաքերները խելագարորեն տեղափոխեցին մնացած 175 միլիոն դոլարը։ THORChain, ETH-ը հնարավորինս արագ փոխարինելով Bitcoin-ով: Այս փուլը հիմնականում կառավարվել է չինացի միջնորդների կողմից, ինչը ցույց է տալիս փշրված, բայց արդյունավետ լվացման ցանց:

KYT-ի և բլոկչեյն վերլուծության կարևորագույն դերը

Այս հարձակումները հիմնարար մարտահրավեր են ներկայացնում 2026 թվականի կրիպտոէկոհամակարգի ամբողջականությանը։ Ստատիկ սև ցուցակները այլևս բավարար չեն, երբ պետական ​​​​գործիչները կարող են ամիսներ սպասել գողացված ակտիվները տեղափոխելու համար։ Ահա թե որտեղ Իմացեք ձեր գործարքը (KYT) և առաջադեմ բլոկչեյնի վերլուծություն դառնում են էական պաշտպանական մեխանիզմներ։

• Իրական ժամանակի ահազանգում. Ահազանգերի ցանցերը հնարավորություն են տալիս անհապաղ տարբեր հարթակներում ահազանգեր ուղարկել։ Երբ Հյուսիսային Կորեային կապված հասցե է հայտնաբերվում, հաստատությունները տեղեկացվում են րոպեների ընթացքում, այլ ոչ թե օրերի ընթացքում, ինչը հնարավոր է կանգնեցնի դուրսբերումը մինչև դրա իրականացումը։
• Multi-Hop-ի վերագրումը. Պարզ «առաջին ցատկի» ստուգումը հեշտությամբ շրջանցվում է: Ժամանակակից վերլուծական համակարգերը հետևում են միջոցներին տասնյակ միջնորդ դրամապանակների և բազմաթիվ կամուրջների միջոցով՝ բացահայտելով հարստության «իրական» աղբյուրը:
• Կամրջի հիգիենայի մոնիթորինգ. Ինչպես երևաց Drift հարձակման ժամանակ, խոցելիությունը կառավարման և բազմա-ստորագրային կարգավորումների մեջ էր։ Վերլուծական գործիքներն այժմ օգնում են ընկերություններին վերահսկել այն արձանագրությունների առողջությունն ու վարքագիծը, որոնց հետ նրանք փոխազդում են՝ նշելով կասկածելի նախապես ստորագրված գործարքները կամ ժամանակի կողպեքների կարգավորումների փոփոխությունները։

Ապահովեք ձեր ենթակառուցվածքը ChainUp KYT-ի միջոցով

Արդյունաբերությունը չի կարող հույսը դնել միայն բլոկչեյնի անվտանգության մշտականության վրա։ Քանի որ հաքերները դառնում են ավելի համբերատար և կատարելագործված, պաշտպանական գործիքները պետք է դառնան ավելի նախաձեռնողական։

ChainUp KYT ապահովում է ինստիտուցիոնալ մակարդակի մոնիթորինգ, որն անհրաժեշտ է 2026 թվականի սպառնալիքների լանդշաֆտում կողմնորոշվելու համար: Մեր լուծումը գերազանցում է սովորական սև ցուցակագրումը և առաջարկում է.

• Իրական ժամանակում գործարքների մոնիտորինգ. Հայտնաբերել և նշել կասկածելի հոսքերը շղթային դիպչելու պահին՝ թույլ տալով անհապաղ միջամտություն կատարել մինչև դուրսբերումների իրականացումը։
• Բազմակի ցատկերի առաջադեմ հետևում. Նայեք «ցատկերի» և միջնորդ դրամապանակների կողքից այն կողմ՝ Հյուսիսային Կորեայի կլաստերներից և կամուրջային շահագործումներից ծագող միջոցները նույնականացնելու համար։
• Արձանագրության կառավարման մասին ծանուցումներ՝ Հետևեք DeFi արձանագրությունների և կամուրջների առողջությանը, որոնց հետ փոխազդում եք, ստանալով ահազանգեր ռիսկային կազմաձևման փոփոխությունների կամ անսովոր բազմահաստատման ակտիվության վերաբերյալ։
• Անխափան համապատասխանության ինտեգրում. Ստեղծված է բորսայի օպերատորների և ինստիտուցիոնալ խաղացողների համար, ովքեր կարիք ունեն հստակ, կլինիկական տվյալների՝ համաշխարհային կարգավորող չափանիշներին համապատասխանելու համար։

Մի սպասեք հաջորդ 12 րոպեանոց լիցքաթափմանը՝ հասկանալու համար, որ ձեր պաշտպանական համակարգերը հնացած են։ Պատվիրեք ցուցադրական հանդիպում ChainUp-ի հետ այսօր տեսնելու, թե ինչպես կարող են մեր KYT լուծումները ամրացնել ձեր ենթակառուցվածքը ոլորտի ամենաբարդ սպառնալիքների դեմ։