Drift Protocolは、2026年4月1日のエクスプロイトに関する詳細を公開し、6か月間にわたって構築された組織的な攻撃について概説しました。この分散型取引所は、対面での会議、技術的なやり取り、悪意のあるソフトウェアの配布に続いて侵害が発生したと述べました。4月1日に発生したこのインシデントでは、貢献者が侵害され、推定2億8000万ドル近くの損失が発生しました。
Drift Protocolが長期的なソーシャルエンジニアリングを追跡
Xの記事で、Drift Protocolは、攻撃が2025年10月頃、大規模な暗号資産カンファレンスで始まったと述べました。Drift Protocolによると、クオンツトレーディング会社を装った個人が、統合を求める貢献者に接近しました。
しかし、やり取りはそこで止まりませんでした。このグループは、6か月間にわたって複数のグローバル業界カンファレンスで貢献者と関わり続けました。彼らは検証済みの専門的な経歴を提示し、繰り返される対面会議で技術的な流暢さを示しました。
また、最初の接触後、彼らはTelegramグループを形成しました。時間をかけて、彼らは貢献者と取引戦略や潜在的なボールト統合について議論しました。これらの議論は、Drift Protocolとやり取りする取引会社の標準的なオンボーディングパターンに従っていました。
2025年12月から2026年1月にかけて、このグループはエコシステムボールトをオンボーディングしました。彼らは戦略の詳細を提出し、プロトコルに100万ドル以上を入金しました。一方、彼らは作業セッションを実施し、詳細な製品に関する質問をしました。
共有ツールとデバイスアクセスに関連する侵害
2026年2月と3月に統合交渉が進むにつれ、信頼は深まりました。貢献者は業界イベントで再びグループと会い、既存の関係を強化しました。しかし、Drift Protocolは後に、これらのやり取りが侵入ベクトルである可能性が高いと特定しました。
Drift Protocolによると、攻撃者はコラボレーション中に悪意のあるリポジトリとアプリケーションを共有しました。これは、2億8000万ドルのエクスプロイト遅延に関するZachXBTのCircleへの指摘とは完全に対照的です。ある貢献者は、フロントエンドデプロイメントツールとして提示されたコードリポジトリをクローンしたと報告されています。
出典: Arkham
別の貢献者は、ウォレット製品として説明されたTestFlight アプリケーションをダウンロードしました。これらの行動により、デバイスが侵害にさらされる可能性がありました。リポジトリベクトルについて、Drift ProtocolはVSCodeとCursorの既知の脆弱性を指摘しました。
2025年12月から2026年2月の間、ファイルを開くと警告なしにサイレントコード実行につながる可能性がありました。エクスプロイトの後、Drift Protocolは影響を受けたデバイスとアカウント全体でフォレンジックレビューを実施しました。特に、攻撃者の通信チャネルとマルウェアは実行直後に消去されました。
帰属と進行中の調査活動
Drift Protocolは、エクスプロイトを検出した後、すべてのプロトコル機能を凍結したと述べました。また、マルチシグ・ウォレット構造から侵害されたウォレットを削除し、取引所とブリッジ全体で攻撃者のウォレットにフラグを立てました。同社はMandiantを調査支援のために採用しました。一方、SEALs 911は既知の脅威グループを指摘する分析を提供しました。
中程度から高い信頼度で、分散型取引所は、2024年10月のRadiant Capitalハッキングの背後にいる攻撃者に攻撃を関連付けました。その作戦は以前、UNC4736、AppleJeusまたはCitrine Sleetとしても知られるものに帰属されていました。
Drift Protocolは、対面会議に関与した個人は北朝鮮国民ではないことを明確にしました。代わりに、そのような作戦は対面でのやり取りのために第三者仲介者を使用することが多いと指摘しました。
ZachXBTによると、この活動はLazarusの傘下にまとめられることが多い既知のDPRK関連のサイバー作戦を反映しています。彼は、Lazarusはハッキングユニットのクラスターを指し、DPRKはそれらの作戦の背後にある国家の所属を示すと説明しました。彼は、そのようなグループは攻撃を実行する前に、階層化されたアイデンティティ、仲介者、長期的なアクセス構築を使用すると指摘しました。
出典: ZachXBT
ZachXBTは、エクスプロイトに関連するオンチェーン資金の流れは、Radiant Capitalを含む以前のDPRK関連インシデントに関連するウォレットとの重複を示していると付け加えました。彼はまた、段階的なやり取り、信頼できるチャネルを通じたマルウェアの配信、実行後の迅速なクリーンアップを含む運用上の類似点を強調しました。
Drift Protocolは、インシデント中にすべてのマルチシグ署名者がコールドウォレットを使用したことを強調しました。調査を完了するために、法執行機関およびフォレンジックパートナーとの協力を続けています。
出典: https://coingape.com/drift-hack-update-protocol-shares-latest-security-update-on-april-1-exploit/
