Το Drift Protocol (DRIFT) δημοσίευσε μια λεπτομερή ενημέρωση περιστατικού στις 5 Απριλίου, αποκαλύπτοντας ότι η εκμετάλλευση των 285 εκατομμυρίων δολαρίων την 1η Απριλίου ήταν αποτέλεσμα μιας εξάμηνης επιχείρησης πληροφοριών που αποδίδεται σε φορείς με κρατική υποστήριξη της Βόρειας Κορέας.
Η αποκάλυψη περιγράφει ένα επίπεδο κοινωνικής μηχανικής που ξεπερνά κατά πολύ τις τυπικές απάτες phishing ή προσλήψεων, περιλαμβάνοντας προσωπικές συναντήσεις, πραγματική ανάπτυξη κεφαλαίου και μήνες οικοδόμησης εμπιστοσύνης.
Μια Ψεύτικη Εταιρεία Συναλλαγών που Έπαιξε το Μακροπρόθεσμο Παιχνίδι
Σύμφωνα με το Drift, μια ομάδα που παρουσιαζόταν ως εταιρεία ποσοτικών συναλλαγών πλησίασε για πρώτη φορά συνεισφέροντες σε ένα μεγάλο συνέδριο κρυπτονομισμάτων το φθινόπωρο του 2025.
Κατά τους επόμενους μήνες, αυτά τα άτομα εμφανίστηκαν σε πολλαπλές εκδηλώσεις σε διάφορες χώρες, πραγματοποίησαν συνεδρίες εργασίας και διατήρησαν συνεχείς συνομιλίες στο Telegram σχετικά με ενσωματώσεις θησαυροφυλακίου.
Ακολουθήστε μας στο X για να λαμβάνετε τα τελευταία νέα καθώς συμβαίνουν
Μεταξύ Δεκεμβρίου 2025 και Ιανουαρίου 2026, η ομάδα ενσωμάτωσε ένα Ecosystem Vault στο Drift, κατέθεσε πάνω από 1 εκατομμύριο δολάρια σε κεφάλαιο και συμμετείχε σε λεπτομερείς συζητήσεις προϊόντων.
Μέχρι τον Μάρτιο, οι συνεισφέροντες του Drift είχαν συναντήσει αυτά τα άτομα πρόσωπο με πρόσωπο σε πολλές περιπτώσεις.
Ακόμη και οι ειδικοί ασφαλείας Web το θεωρούν ανησυχητικό, με την ερευνήτρια Tay να μοιράζεται ότι αρχικά περίμενε μια τυπική απάτη προσλήψεων, αλλά βρήκε το βάθος της επιχείρησης πολύ πιο ανησυχητικό.
Πώς Παραβιάστηκαν οι Συσκευές
Το Drift εντόπισε τρία πιθανά διανύσματα επίθεσης:
- Ένας συνεισφέρων κλωνοποίησε ένα αποθετήριο κώδικα που η ομάδα κοινοποίησε για ένα frontend θησαυροφυλακίου.
- Ένας δεύτερος κατέβασε μια εφαρμογή TestFlight που παρουσιαζόταν ως προϊόν πορτοφολιού.
- Για το διάνυσμα του αποθετηρίου, το Drift επισήμανε μια γνωστή ευπάθεια VSCode και Cursor που οι ερευνητές ασφαλείας επισημαίνουν από τα τέλη του 2025.
Αυτό το ελάττωμα επέτρεψε την αθόρυβη εκτέλεση αυθαίρετου κώδικα τη στιγμή που ένα αρχείο ή φάκελος ανοιγόταν στον επεξεργαστή, χωρίς να απαιτείται αλληλεπίδραση χρήστη.
Μετά την αποστράγγιση της 1ης Απριλίου, οι επιτιθέμενοι διέγραψαν όλες τις συνομιλίες Telegram και το κακόβουλο λογισμικό. Το Drift έχει πλέον παγώσει τις υπόλοιπες λειτουργίες πρωτοκόλλου και αφαίρεσε τα παραβιασμένα πορτοφόλια από το multisig.
Η ομάδα SEALS 911 εκτίμησε με μεσαία-υψηλή εμπιστοσύνη ότι οι ίδιοι φορείς απειλής πραγματοποίησαν το hack του Radiant Capital τον Οκτώβριο του 2024, το οποίο η Mandiant απέδωσε στο UNC4736.
Οι ροές κεφαλαίων on-chain και οι λειτουργικές επικαλύψεις μεταξύ των δύο εκστρατειών υποστηρίζουν αυτήν τη σύνδεση.
Ο Κλάδος Καλεί για Επαναφορά Ασφαλείας
Ο Armani Ferrante, ένας εξέχων προγραμματιστής Solana, κάλεσε κάθε ομάδα κρυπτονομισμάτων να παύσει τις προσπάθειες ανάπτυξης και να ελέγξει ολόκληρη τη στοίβα ασφαλείας της.
Το Drift σημείωσε ότι τα άτομα που εμφανίστηκαν προσωπικά δεν ήταν υπήκοοι της Βόρειας Κορέας. Οι φορείς απειλής της ΛΔΚΟ σε αυτό το επίπεδο είναι γνωστό ότι αναπτύσσουν μεσάζοντες τρίτων για προσωπική συνάντηση.
Η Mandiant, την οποία το Drift έχει προσλάβει για εγκληματολογία συσκευών, δεν έχει ακόμη αποδώσει επίσημα την εκμετάλλευση.
Η αποκάλυψη χρησιμεύει ως προειδοποίηση για το ευρύτερο οικοσύστημα. Το Drift προέτρεψε τις ομάδες να ελέγξουν τους ελέγχους πρόσβασης, να αντιμετωπίζουν κάθε συσκευή που αγγίζει ένα multisig ως πιθανό στόχο και να επικοινωνούν με το SEAL 911 εάν υποπτεύονται παρόμοια στόχευση.
Η ανάρτηση Drift Protocol's $285 Million Heist Started With a Handshake and 6 Months of Trust εμφανίστηκε πρώτα στο BeInCrypto.
Πηγή: https://beincrypto.com/drift-north-korea-spy-operation-hack/
