Drift Protocol ujawnił szczegóły dotyczące włamania z 1 kwietnia 2026 r., przedstawiając skoordynowany atak przygotowywany przez sześć miesięcy. Zdecentralizowana giełda poinformowała, że naruszenie nastąpiło po osobistych spotkaniach, zaangażowaniu technicznym i dystrybucji złośliwego oprogramowania. Incident, który miał miejsce 1 kwietnia, dotknął skompromitowanych współpracowników i spowodował szacunkowe straty w wysokości blisko 280 milionów dolarów.
Drift Protocol śledzi długoterminową inżynierię społeczną
W artykule na X Drift Protocol poinformował, że atak rozpoczął się około października 2025 r. podczas dużej konferencji kryptowalutowej. Według Drift Protocol osoby podające się za firmę zajmującą się tradingiem ilościowym nawiązały kontakt ze współpracownikami w celu integracji.
Jednak interakcja na tym się nie zakończyła. Grupa kontynuowała angażowanie współpracowników podczas wielu globalnych konferencji branżowych przez sześć miesięcy. Przedstawiali zweryfikowane profesjonalne doświadczenie i demonstrowali biegłość techniczną podczas powtarzających się osobistych spotkań.
Utworzyli również grupę Telegram po pierwszym kontakcie. Z czasem omawiali strategie tradingowe i potencjalne integracje vault ze współpracownikami. Te dyskusje przebiegały według standardowych wzorców onboardingowych dla firm tradingowych współpracujących z Drift Protocol.
Od grudnia 2025 r. do stycznia 2026 r. grupa wdrożyła vault ekosystemowy. Przedstawili szczegóły strategii i wpłacili ponad 1 milion dolarów do protokołu. W międzyczasie przeprowadzali sesje robocze i zadawali szczegółowe pytania dotyczące produktu.
Kompromitacja powiązana z udostępnionymi narzędziami i dostępem do urządzeń
W miarę postępu rozmów integracyjnych w lutym i marcu 2026 r. zaufanie rosło. Współpracownicy ponownie spotkali się z grupą podczas wydarzeń branżowych, wzmacniając istniejące relacje. Jednak Drift Protocol później zidentyfikował te interakcje jako prawdopodobny wektor włamania.
Według Drift Protocol atakujący udostępniali złośliwe repozytoria i aplikacje podczas współpracy. Jest to całkowite przeciwieństwo wezwania ZachXBT do Circle w sprawie opóźnienia w zgłoszeniu włamania na 280 milionów dolarów. Jeden ze współpracowników podobno sklonował repozytorium kodu przedstawiane jako narzędzie do wdrażania frontendu.
Źródło: Arkham
Inny współpracownik pobrał aplikację TestFlight opisywaną jako produkt portfelowy. Te działania potencjalnie naraziły urządzenia na kompromitację. W przypadku wektora repozytorium Drift Protocol wskazał na znaną lukę w VSCode i Cursor.
Od grudnia 2025 r. do lutego 2026 r. otwieranie plików mogło prowadzić do cichego wykonania kodu bez ostrzeżeń. Po wykorzystaniu luki Drift Protocol przeprowadził przeglądy kryminalistyczne na dotkniętych urządzeniach i kontach. Co istotne, kanały komunikacji atakujących i złośliwe oprogramowanie zostały usunięte natychmiast po wykonaniu ataku.
Atrybucja i trwające działania śledcze
Drift Protocol poinformował, że zamroził wszystkie funkcje protokołu po wykryciu włamania. Usunął również skompromitowane portfele ze swojej struktury multisig i oznaczył portfele atakujących na giełdach i mostach. Firma zaangażowała Mandiant do wsparcia śledztwa. W międzyczasie SEALs 911 dostarczył analizę wskazującą na znaną grupę zagrożeń.
Ze średnio-wysokim poziomem pewności zdecentralizowana giełda powiązała atak z aktorami stojącymi za hackiem Radiant Capital z października 2024 r. Ta operacja została wcześniej przypisana UNC4736, znanej również jako AppleJeus lub Citrine Sleet.
Drift Protocol wyjaśnił, że osoby zaangażowane w spotkania twarzą w twarz nie były obywatelami Korei Północnej. Zamiast tego zauważył, że takie operacje często wykorzystują pośredników zewnętrznych do osobistego zaangażowania.
Według ZachXBT aktywność odzwierciedla znane operacje cybernetyczne powiązane z KRLD, często grupowane pod parasolem Lazarus. Wyjaśnił, że Lazarus odnosi się do skupiska jednostek hakerskich, podczas gdy KRLD wskazuje na afiliację państwową za tymi operacjami. Zauważył, że takie grupy używają warstwowych tożsamości, pośredników i długoterminowego budowania dostępu przed wykonaniem ataków.
Źródło: ZachXBT
ZachXBT dodał, że przepływy środków on-chain związane z włamaniem wykazują nakładanie się z portfelami powiązanymi z poprzednimi incydentami związanymi z KRLD, w tym Radiant Capital. Podkreślił również podobieństwa operacyjne, w tym inscenizowane interakcje, dostarczanie złośliwego oprogramowania przez zaufane kanały i szybkie sprzątanie po wykonaniu.
Drift Protocol podkreślił, że wszyscy sygnatariusze multi-sig używali zimnych portfeli podczas incydentu. Kontynuuje współpracę z organami ścigania i partnerami kryminalistycznymi w celu zakończenia śledztwa.
Źródło: https://coingape.com/drift-hack-update-protocol-shares-latest-security-update-on-april-1-exploit/
