Drift Protocol a divulgué des détails sur son exploit du 1er avril 2026, décrivant une attaque coordonnée élaborée sur six mois. L'échange décentralisé a déclaré que la violation a suivi des réunions en personne, un engagement technique et une distribution de logiciels malveillants. L'incident, survenu le 1er avril, a impliqué des contributeurs compromis et a entraîné des pertes estimées à près de 280 millions de dollars.
Drift Protocol retrace une ingénierie sociale à long terme
Dans un article X, Drift Protocol a déclaré que l'attaque a commencé vers octobre 2025 lors d'une grande conférence crypto. Selon Drift Protocol, des individus se faisant passer pour une société de trading quantitatif ont approché des contributeurs cherchant une intégration.
Cependant, l'interaction ne s'est pas arrêtée là. Le groupe a continué à engager des contributeurs lors de multiples conférences industrielles mondiales pendant six mois. Ils ont présenté des parcours professionnels vérifiés et ont démontré une maîtrise technique lors de réunions répétées en personne.
De plus, ils ont créé un groupe Telegram après le contact initial. Au fil du temps, ils ont discuté de stratégies de trading et d'intégrations potentielles de coffres-forts avec les contributeurs. Ces discussions ont suivi les schémas d'intégration standard pour les sociétés de trading interagissant avec Drift Protocol.
De décembre 2025 à janvier 2026, le groupe a intégré un coffre-fort d'écosystème. Ils ont soumis des détails de stratégie et déposé plus d'un million de dollars dans le protocole. Pendant ce temps, ils ont mené des sessions de travail et posé des questions détaillées sur les produits.
Compromission liée aux outils partagés et à l'accès aux appareils
Alors que les discussions d'intégration progressaient en février et mars 2026, la confiance s'est approfondie. Les contributeurs ont rencontré le groupe à nouveau lors d'événements de l'industrie, renforçant les relations existantes. Cependant, Drift Protocol a ensuite identifié ces interactions comme le vecteur d'intrusion probable.
Selon Drift Protocol, les attaquants ont partagé des dépôts et applications malveillants pendant la collaboration. Cela contraste complètement avec l'interpellation de ZachXBT sur Circle concernant le retard de l'exploit de 280 millions de dollars. Un contributeur aurait cloné un dépôt de code présenté comme un outil de déploiement frontend.
Source : Arkham
Un autre contributeur a téléchargé une application TestFlight décrite comme un produit de portefeuille. Ces actions ont potentiellement exposé les appareils à une compromission. Pour le vecteur du dépôt, Drift Protocol a pointé une vulnérabilité connue dans VSCode et Cursor.
De décembre 2025 à février 2026, l'ouverture de fichiers pouvait entraîner une exécution de code silencieuse sans avertissements. Suite à l'exploit, Drift Protocol a mené des examens forensiques sur les appareils et comptes affectés. Notamment, les canaux de communication des attaquants et les logiciels malveillants ont été effacés immédiatement après l'exécution.
Attribution et efforts d'enquête en cours
Drift Protocol a déclaré avoir gelé toutes les fonctions du protocole après avoir détecté l'exploit. Il a également retiré les portefeuilles compromis de sa structure multi-signatures et signalé les portefeuilles des attaquants sur les échanges et bridges. La société a engagé Mandiant pour soutenir l'enquête. Pendant ce temps, SEALs 911 a contribué à l'analyse pointant vers un groupe de menace connu.
Avec une confiance moyenne-élevée, l'échange décentralisé a lié l'attaque aux acteurs derrière le piratage de Radiant Capital en octobre 2024. Cette opération a été précédemment attribuée à UNC4736, également connu sous le nom d'AppleJeus ou Citrine Sleet.
Drift Protocol a précisé que les individus impliqués dans les réunions en face à face n'étaient pas des ressortissants nord-coréens. Au lieu de cela, il a noté que de telles opérations utilisent souvent des intermédiaires tiers pour l'engagement en personne.
Selon ZachXBT, l'activité reflète des opérations cybernétiques connues liées à la RPDC souvent regroupées sous l'ombrelle Lazarus. Il a expliqué que Lazarus fait référence à un groupe d'unités de piratage, tandis que RPDC indique l'affiliation étatique derrière ces opérations. Il a noté que de tels groupes utilisent des identités superposées, des intermédiaires et la construction d'accès à long terme avant d'exécuter des attaques.
Source : ZachXBT
ZachXBT a ajouté que les flux de fonds on-chain liés à l'exploit montrent des chevauchements avec des portefeuilles liés à des incidents précédents associés à la RPDC, y compris Radiant Capital. Il a également souligné des similitudes opérationnelles, notamment des interactions mises en scène, la livraison de logiciels malveillants via des canaux de confiance et un nettoyage rapide après l'exécution.
Drift Protocol a souligné que tous les signataires multi-signatures ont utilisé des portefeuilles froids pendant l'incident. Il continue de travailler avec les forces de l'ordre et les partenaires forensiques pour terminer l'enquête.
Source : https://coingape.com/drift-hack-update-protocol-shares-latest-security-update-on-april-1-exploit/
