Drift Protocol (DRIFT) menerbitkan pembaruan insiden terperinci pada 5 April, mengungkapkan bahwa eksploitasi senilai $285 juta pada 1 April adalah hasil dari operasi intelijen selama enam bulan yang dikaitkan dengan aktor yang didukung negara Korea Utara.
Pengungkapan tersebut menggambarkan tingkat rekayasa sosial yang jauh melampaui phishing atau penipuan perekrut biasa, melibatkan pertemuan langsung, penempatan modal nyata, dan pembangunan kepercayaan selama berbulan-bulan.
Perusahaan Trading Palsu yang Bermain Jangka Panjang
Menurut Drift, sebuah kelompok yang menyamar sebagai perusahaan trading kuantitatif pertama kali mendekati kontributor di konferensi kripto besar pada musim gugur 2025.
Selama beberapa bulan berikutnya, individu-individu ini muncul di berbagai acara di beberapa negara, mengadakan sesi kerja, dan mempertahankan percakapan Telegram yang berkelanjutan tentang integrasi vault.
Ikuti kami di X untuk mendapatkan berita terbaru saat terjadi
Antara Desember 2025 dan Januari 2026, kelompok tersebut mengintegrasikan Ecosystem Vault di Drift, menyetor lebih dari $1 juta modal, dan berpartisipasi dalam diskusi produk yang terperinci.
Pada bulan Maret, kontributor Drift telah bertemu individu-individu ini secara langsung dalam beberapa kesempatan.
Bahkan para ahli keamanan Web menganggap ini mengkhawatirkan, dengan peneliti Tay berbagi bahwa dia awalnya mengharapkan penipuan perekrut biasa tetapi menemukan kedalaman operasi ini jauh lebih mengkhawatirkan.
Bagaimana Perangkat Dikompromikan
Drift mengidentifikasi tiga vektor serangan yang mungkin:
- Satu kontributor mengkloning repositori kode yang dibagikan kelompok untuk frontend vault.
- Yang kedua mengunduh aplikasi TestFlight yang dipresentasikan sebagai produk wallet.
- Untuk vektor repositori, Drift menunjuk pada kerentanan VSCode dan Cursor yang diketahui yang telah ditandai oleh peneliti keamanan sejak akhir 2025.
Kelemahan tersebut memungkinkan kode arbitrer untuk dieksekusi secara diam-diam saat file atau folder dibuka di editor, tanpa memerlukan interaksi pengguna.
Setelah pengurasan pada 1 April, penyerang menghapus semua obrolan Telegram dan perangkat lunak berbahaya. Drift sejak itu membekukan fungsi protokol yang tersisa dan menghapus wallet yang dikompromikan dari multisig.
Tim SEALS 911 menilai dengan kepercayaan menengah-tinggi bahwa aktor ancaman yang sama melakukan peretasan Radiant Capital pada Oktober 2024, yang dikaitkan Mandiant dengan UNC4736.
Aliran dana on-chain dan tumpang tindih operasional antara kedua kampanye mendukung koneksi tersebut.
Industri Menyerukan Reset Keamanan
Armani Ferrante, pengembang Solana terkemuka, menyerukan setiap tim kripto untuk menghentikan upaya pertumbuhan dan mengaudit seluruh tumpukan keamanan mereka.
Drift mencatat bahwa individu yang muncul secara langsung bukan warga negara Korea Utara. Aktor ancaman DPRK di tingkat ini diketahui menggunakan perantara pihak ketiga untuk keterlibatan tatap muka.
Mandiant, yang telah dipekerjakan Drift untuk forensik perangkat, belum secara resmi mengaitkan eksploitasi tersebut.
Pengungkapan ini berfungsi sebagai peringatan bagi ekosistem yang lebih luas. Drift mendesak tim untuk mengaudit kontrol akses, memperlakukan setiap perangkat yang menyentuh multisig sebagai target potensial, dan menghubungi SEAL 911 jika mereka mencurigai penargetan serupa.
Postingan Perampokan $285 Juta Drift Protocol Dimulai Dengan Jabat Tangan dan 6 Bulan Kepercayaan pertama kali muncul di BeInCrypto.
Sumber: https://beincrypto.com/drift-north-korea-spy-operation-hack/
