Drift Protocol (DRIFT) a publicat o actualizare detaliată a incidentului pe 5 aprilie, dezvăluind că exploatarea de 285 milioane de dolari din 1 aprilie a fost rezultatul unei operațiuni de informații de șase luni atribuită actorilor susținuți de statul nord-coreean.
Dezvăluirea descrie un nivel de inginerie socială care depășește cu mult escrocheriile tipice de phishing sau de recrutare, implicând întâlniri personale, implementarea de capital real și luni de construire a încrederii.
O Firmă de Tranzacționare Falsă care a Jucat pe Termen Lung
Conform Drift, un grup care s-a dat drept o firmă de tranzacționare cantitativă a abordat pentru prima dată contributorii la o conferință cripto majoră în toamna anului 2025.
În lunile următoare, acești indivizi au apărut la multiple evenimente în mai multe țări, au ținut sesiuni de lucru și au menținut conversații continue pe Telegram despre integrări de vault-uri.
Urmăriți-ne pe X pentru a primi cele mai recente știri pe măsură ce se întâmplă
Între decembrie 2025 și ianuarie 2026, grupul a încărcat un Ecosystem Vault pe Drift, a depus peste 1 milion de dolari în capital și a participat la discuții detaliate despre produse.
Până în martie, contributorii Drift îi întâlniseră pe acești indivizi față în față în multiple ocazii.
Chiar și experții în securitate Web consideră acest lucru îngrijorător, cercetătoarea Tay împărtășind că inițial se aștepta la o escrocherie tipică de recrutare, dar a găsit profunzimea operațiunii mult mai alarmantă.
Cum au Fost Compromise Dispozitivele
Drift a identificat trei vectori de atac probabili:
- Un contributor a clonat un depozit de cod pe care grupul l-a partajat pentru un frontend de vault.
- Al doilea a descărcat o aplicație TestFlight prezentată ca un produs wallet.
- Pentru vectorul de depozit, Drift a indicat o vulnerabilitate cunoscută VSCode și Cursor pe care cercetătorii de securitate o semnalaseră încă din sfârșitul anului 2025.
Acea defecțiune a permis executarea silențioasă a codului arbitrar în momentul în care un fișier sau un folder era deschis în editor, fără a fi necesară nicio interacțiune din partea utilizatorului.
După drenajul din 1 aprilie, atacatorii au șters toate conversațiile Telegram și software-ul malițios. Drift a înghețat de atunci funcțiile rămase ale protocolului și a eliminat wallet-urile compromise din multisig.
Echipa SEALS 911 a evaluat cu încredere medie-ridicată că aceiași actori amenințători au efectuat hackul Radiant Capital din octombrie 2024, pe care Mandiant l-a atribuit UNC4736.
Fluxurile de fonduri on-chain și suprapunerile operaționale dintre cele două campanii susțin această conexiune.
Industria Solicită o Resetare a Securității
Armani Ferrante, un dezvoltator Solana proeminent, a cerut fiecărei echipe cripto să oprească eforturile de creștere și să auditeze întregul lor stack de securitate.
Drift a menționat că indivizii care au apărut personal nu erau cetățeni nord-coreeni. Se știe că actorii amenințători DPRK de la acest nivel folosesc intermediari terți pentru angajamente față în față.
Mandiant, pe care Drift l-a angajat pentru criminalistică de dispozitive, nu a atribuit încă formal exploatarea.
Dezvăluirea servește ca un avertisment pentru ecosistemul mai larg. Drift a îndemnat echipele să auditeze controalele de acces, să trateze fiecare dispozitiv care atinge un multisig ca o țintă potențială și să contacteze SEAL 911 dacă suspectează o țintire similară.
Postarea Jaful de 285 Milioane de Dolari al Drift Protocol a Început cu o Strângere de Mână și 6 Luni de Încredere a apărut prima dată pe BeInCrypto.
Sursă: https://beincrypto.com/drift-north-korea-spy-operation-hack/
