Взлом Drift Protocol на $280 млн: месяцы целенаправленной подготовки

Drift Protocol, децентрализованная биржа, заявляет, что последняя утечка не была случайным инцидентом, а представляла собой шестимесячную, хорошо скоординированную операцию, проведенную структурированной сетью злоумышленников. Предварительная оценка компании описывает атаку как кампанию разведывательного типа, которая требовала организационной поддержки, значительных ресурсов и месяцев преднамеренной подготовки. Внешние оценки оценивают убытки примерно в 280 млн $.

Drift проследил план до октября 2025 года, когда злоумышленники, выдававшие себя за фирму количественной торговли, обратились к участникам Drift на крупной криптоконференции и проявили интерес к интеграции с протоколом. В течение следующих шести месяцев группа лично встречалась с участниками Drift на нескольких отраслевых мероприятиях. Drift описал подход как целенаправленный: люди из группы выглядели технически подкованными, имели проверяемое профессиональное прошлое и были знакомы с тем, как работает Drift. Злоумышленники использовали личные встречи для установления доверия, затем использовали общие полезные нагрузки на основе ссылок и инструменты для компрометации устройств участников, что позволило провести эксплойт, прежде чем стереть свои следы.

Ключевые выводы

• Утечка Drift Protocol описывается как шестимесячная, скоординированная операция с внешней оценкой убытков около 280 млн $.
• Расследование указывает на личную вербовку на конференциях, начавшуюся примерно в октябре 2025 года, нацеленную на участников Drift.
• Злоумышленники получили доступ через скомпрометированные устройства с помощью вредоносных ссылок и инструментов, затем удалили любые следы своей активности после выполнения.
• Drift утверждает о возможной связи с взломом Radiant Capital в октябре 2024 года, предполагая, что могут быть вовлечены те же злоумышленники, хотя атрибуция остается нюансированной.
• Radiant Capital описал инцидент 2024 года как вредоносное ПО, доставленное через Telegram от хакера, связанного с Северной Кореей, выдававшего себя за бывшего подрядчика; Drift предупреждает, что лица, встречавшиеся лично, не были гражданами Северной Кореи.
• Этот случай подчеркивает текущие риски безопасности на криптоконференциях и необходимость повышенной бдительности при взаимодействии с внешними сотрудниками.

Развивающаяся хронология: от конференционного любопытства до эксплойта

Отчет Drift указывает, что злоумышленники начали свое взаимодействие на видном отраслевом собрании, представляя себя как потенциальных партнеров по интеграции, а не как откровенных атакующих. В течение последующих месяцев группа встречалась с участниками Drift на нескольких мероприятиях, тщательно выстраивая отношения и демонстрируя достоверное техническое понимание операций Drift. Этот этап помог злоумышленникам получить доступ к внутренним каналам и доверенным коммуникациям, которые затем стали каналом для самого эксплойта.

По словам Drift, операция была преднамеренно структурирована, с организованной поддержкой и ресурсами, которые позволили злоумышленникам поддерживать длительную кампанию. Злоумышленники в конечном итоге развернули вредоносные инструменты и ссылки через скомпрометированные устройства участников Drift, что позволило провести утечку. После эксплойта злоумышленники, как сообщается, стерли свои цифровые следы, осложняя реагирование на инцидент и криминалистическую работу для Drift и его партнеров.

Утечка служит отрезвляющим напоминанием для участников криптопространства: даже личные взаимодействия на конференциях — часто рассматриваемые как возможности для налаживания контактов — могут быть использованы в качестве векторов для сложных, хорошо обеспеченных ресурсами злоумышленников. Эта динамика подчеркивает важность строгой гигиены устройств, многоуровневых практик безопасности и осторожного сотрудничества со сторонними платформами в секторе, где доверительная ткань тесно переплетена с совместимостью блокчейна.

Связь с Radiant Capital: потенциальная сквозная линия с важными оговорками

Drift заявил, что имеет высокую или средне-высокую уверенность в том, что та же группа, стоящая за взломом Radiant Capital в октябре 2024 года, может быть связана с инцидентом Drift. Утечка Radiant Capital была раскрыта в декабре 2024 года, при этом компания описала вторжение как вредоносное ПО, доставленное через Telegram злоумышленником, связанным с Северной Кореей, выдававшим себя за бывшего подрядчика. В том случае ZIP-файл, переданный для обратной связи среди разработчиков, предположительно доставил вредоносное ПО, которое позволило проникновение.

Drift подчеркнул, что люди, которые появлялись лично на конференциях, не были гражданами Северной Кореи. Компания также отметила, что злоумышленники, связанные с КНДР, как известно, используют сторонних посредников для проведения личного построения отношений — паттерн, наблюдаемый и в других случаях. Связь остается предметом текущего расследования, и атрибуция в сложных киберинцидентах часто развивается по мере появления новых доказательств.

Для контекста, инцидент Radiant Capital подчеркнул, как социальная инженерия и удаленные полезные нагрузки могут сходиться с личным построением доверия для взлома даже сложных систем. Схождение этих нарративов — вербовка на конференциях, вредоносное ПО, доставленное через скомпрометированные устройства, и связи с предыдущими громкими взломами — будет тщательно изучаться следователями, поскольку они собирают полную цепочку событий, окружающих утечку Drift.

Текущее расследование и последствия для отрасли

Drift заявил, что сотрудничает с правоохранительными органами и другими участниками отрасли для составления полной картины того, что произошло во время атаки 1 апреля. Раскрытие информации компанией подчеркивает продолжающуюся необходимость межотраслевого сотрудничества в разведке угроз, реагировании на инциденты и криминалистике после утечки. Хотя Drift не раскрыл всех технических деталей компрометации, акцент на длительных, скоординированных усилиях указывает на уровень сложности, который выходит за рамки оппортунистических вторжений.

Для инвесторов и разработчиков в пространстве DeFi инцидент с Drift подкрепляет несколько практических выводов. Во-первых, даже давние участники и доверительные отношения не защищены от манипуляций, когда злоумышленники сочетают личную тактику с техническими эксплойтами. Во-вторых, атрибуция в сложных кампаниях может быть неоднозначной, требуя тщательных, основанных на доказательствах проверок, а не преждевременных выводов. Наконец, эпизод подчеркивает постоянную необходимость надежных архитектур безопасности, которые могут обнаруживать и сдерживать многоэтапные вторжения, включая скомпрометированные учетные данные, точки опоры на уровне устройств и следы после эксплуатации.

По мере развития расследования читателям следует следить за любыми обновлениями о методах злоумышленников, новых индикаторах компрометации и любых программных изменениях в том, как Drift и другие протоколы подходят к адаптации участников, интеграции партнеров и руководствам по реагированию на инциденты. Схождение многомесячного подхода, основанного на конференциях, с потенциальной связью с предыдущими громкими утечками подчеркивает более широкий ландшафт рисков, с которым сталкиваются децентрализованные платформы по мере их масштабирования и сотрудничества в рамках экосистемы.

То, что остается неопределенным, — это полный масштаб влияния утечки на пользователей Drift и ликвидность, насколько быстро платформа восстановится операционно, и изменят ли дополнительные случаи атрибуции понимание паттернов злоумышленников в пространстве DeFi. Предстоящие недели будут ключевыми как для прозрачности, так и для позиции безопасности в отрасли, которая все больше полагается на открытое сотрудничество и трансграничные партнерства для инноваций.

Забегая вперед, участники рынка захотят отслеживать обновления от Drift и соответствующих исследователей безопасности о любых новых находках о злоумышленниках, инструментах и более широких последствиях для управления DeFi, управления рисками и практик сотрудничества на конференциях.

Эта статья была первоначально опубликована как Drift Protocol 280 млн $ Утечка: Месяцы преднамеренной подготовки на Crypto Breaking News — вашем надежном источнике крипто новостей, Bitcoin новостей и обновлений блокчейна.