Drift Protocol, o platformă descentralizată de schimb de criptomonede (DEX), a declarat că exploatarea recentă asupra platformei a fost un atac extrem de coordonat, desfășurat pe parcursul a șase luni.
„Investigația preliminară arată că Drift a experimentat o operațiune structurată de intelligence, care a necesitat sprijin organizațional, resurse semnificative și luni de pregătire minuțioasă”, a declarat Drift într-o postare pe X sâmbătă. Platforma descentralizată de schimb a fost exploatată miercuri, estimările externe plasând pierderile în jurul valorii de 280 de milioane de dolari.
Totul a început la o „conferință majoră de criptomonede”
Potrivit Drift, planul de atac poate fi urmărit până în jurul lunii octombrie 2025, când actori rău intenționați, pretinzând a fi o firmă de tranzacționare cantitativă, au abordat pentru prima dată colaboratorii Drift la o „conferință majoră de criptomonede”, susținând că sunt interesați să se integreze cu protocolul.
Sursa: Drift Protocol
Grupul a continuat să implice colaboratorii în persoană la mai multe evenimente din industrie în următoarele șase luni. „Se înțelege acum că aceasta pare a fi o abordare țintită, în care persoane din acest grup au continuat să caute și să implice în mod deliberat colaboratori specifici Drift”, a spus Drift.
„Erau fluenți din punct de vedere tehnic, aveau un background profesional verificabil și erau familiarizați cu modul în care funcționează Drift”, a spus Drift.
După ce au câștigat încredere și acces la Drift Protocol pe parcursul a șase luni, au folosit linkuri și instrumente malițioase partajate pentru a compromite dispozitivele colaboratorilor, a executa exploatarea și apoi și-au șters prezența imediat după atac.
Incidentul servește ca un memento pentru participanții din industria cripto pentru a rămâne precauți și sceptici, chiar și în timpul interacțiunilor în persoană, deoarece conferințele cripto pot fi ținte principale pentru actori amenințători sofisticați.
Drift semnalează o probabilitate ridicată a unui link de hack Radiant Capital
Drift a spus, cu „încredere mediu-înaltă”, că exploatarea a fost efectuată de aceiași actori din spatele hack-ului Radiant Capital din octombrie 2024. În decembrie 2024, Radiant Capital a spus că exploatarea a fost efectuată prin malware trimis prin Telegram de la un hacker aliniat Coreei de Nord, pretinzând a fi un fost contractor.
Sursa: Dith
„Acest fișier ZIP, atunci când a fost partajat pentru feedback între alți dezvoltatori, a livrat în cele din urmă malware care a facilitat intruziunea ulterioară”, a spus Radiant Capital.
Drift a spus că este „important de reținut” că persoanele care au apărut în persoană „nu erau cetățeni nord-coreeni”.
„Actorii amenințători DPRK care operează la acest nivel sunt cunoscuți pentru a desfășura intermediari terți pentru a efectua construirea de relații față în față”, a spus Drift.
Drift a spus că lucrează cu organele de aplicare a legii și cu alții din industria cripto pentru a „construi o imagine completă a ceea ce s-a întâmplat în timpul atacului din 1 aprilie”.