Drift Protocol (DRIFT) opublikował szczegółową aktualizację incydentu 5 kwietnia, ujawniając, że exploit o wartości 285 milionów dolarów z 1 kwietnia był wynikiem sześciomiesięcznej operacji wywiadowczej przypisywanej aktorom wspieranym przez państwo północnokoreańskie.
Ujawnienie opisuje poziom inżynierii społecznej, który znacznie wykracza poza typowe phishing lub oszustwa rekruterskie, obejmujący osobiste spotkania, rzeczywiste wdrożenie kapitału i miesięczne budowanie zaufania.
Fałszywa firma handlowa, która grała w długą grę
Według Drift, grupa podająca się za firmę zajmującą się handlem ilościowym po raz pierwszy nawiązała kontakt z współpracownikami na dużej konferencji kryptowalutowej jesienią 2025 roku.
W kolejnych miesiącach osoby te pojawiały się na wielu wydarzeniach w kilku krajach, prowadziły sesje robocze i utrzymywały bieżące rozmowy na Telegramie na temat integracji vault.
Śledź nas na X, aby otrzymywać najnowsze wiadomości na bieżąco
Między grudniem 2025 a styczniem 2026 roku grupa uruchomiła Ecosystem Vault na Drift, zdeponowała ponad 1 milion dolarów kapitału i uczestniczyła w szczegółowych dyskusjach o produkcie.
Do marca współpracownicy Drift wielokrotnie spotykali się z tymi osobami twarzą w twarz.
Nawet eksperci ds. bezpieczeństwa internetowego uważają to za niepokojące, a badaczka Tay podzieliła się, że początkowo spodziewała się typowego oszustwa rekruterskiego, ale głębokość operacji okazała się znacznie bardziej alarmująca.
Jak urządzenia zostały skompromitowane
Drift zidentyfikował trzy prawdopodobne wektory ataku:
- Jeden współpracownik sklonował repozytorium kodu, które grupa udostępniła dla frontend vault.
- Drugi pobrał aplikację TestFlight przedstawioną jako produkt portfela.
- W przypadku wektora repozytorium Drift wskazał na znaną lukę w VSCode i Cursor, którą badacze bezpieczeństwa sygnalizowali od końca 2025 roku.
Ta luka pozwalała na ciche wykonywanie dowolnego kodu w momencie otwarcia pliku lub folderu w edytorze, bez wymaganej interakcji użytkownika.
Po wycieknięciu z 1 kwietnia atakujący usunęli wszystkie czaty na Telegramie i złośliwe oprogramowanie. Drift od tego czasu zamroził pozostałe funkcje protokołu i usunął skompromitowane portfele z multisig.
Zespół SEALS 911 ocenił ze średnio-wysokim poziomem pewności, że ci sami aktorzy zagrożeń przeprowadzili hack Radiant Capital w październiku 2024 roku, który Mandiant przypisał UNC4736.
Przepływy środków on-chain i operacyjne nakładanie się obu kampanii wspierają to połączenie.
Branża wzywa do resetu bezpieczeństwa
Armani Ferrante, prominentny deweloper Solana, wezwał każdy zespół kryptowalutowy do wstrzymania działań rozwojowych i przeprowadzenia audytu całego stosu bezpieczeństwa.
Drift zauważył, że osoby, które pojawiły się osobiście, nie były obywatelami Korei Północnej. Aktorzy zagrożeń z KRLD na tym poziomie są znani z wykorzystywania pośredników stron trzecich do kontaktów twarzą w twarz.
Mandiant, którego Drift zaangażował do kryminalistyki urządzeń, nie przypisał jeszcze formalnie exploitu.
Ujawnienie służy jako ostrzeżenie dla szerszego ekosystemu. Drift wezwał zespoły do audytu kontroli dostępu, traktowania każdego urządzenia, które dotyka multisig jako potencjalnego celu i skontaktowania się z SEAL 911, jeśli podejrzewają podobne celowanie.
Post Drift Protocol's $285 Million Heist Started With a Handshake and 6 Months of Trust ukazał się jako pierwszy na BeInCrypto.
Źródło: https://beincrypto.com/drift-north-korea-spy-operation-hack/
