كشف بروتوكول Drift تفاصيل حول اختراق 1 أبريل 2026، موضحًا هجومًا منسقًا تم بناؤه على مدى ستة أشهر. قالت منصة التداول اللامركزية إن الاختراق جاء بعد اجتماعات شخصية وتفاعل تقني وتوزيع برامج ضارة. أدت الحادثة التي وقعت في 1 أبريل إلى اختراق المساهمين وأسفرت عن خسائر تقدر بنحو 280 مليون دولار.
بروتوكول Drift يتتبع الهندسة الاجتماعية طويلة المدى
في مقال على X، قال بروتوكول Drift إن الهجوم بدأ حوالي أكتوبر 2025 في مؤتمر كريبتو كبير. وفقًا لبروتوكول Drift، اقترب أفراد يتظاهرون بأنهم شركة تداول كمي من المساهمين الذين يسعون للتكامل.
ومع ذلك، لم يتوقف التفاعل عند هذا الحد. واصلت المجموعة التفاعل مع المساهمين عبر مؤتمرات صناعية عالمية متعددة على مدى ستة أشهر. قدموا خلفيات مهنية موثقة وأظهروا طلاقة تقنية خلال اجتماعات شخصية متكررة.
أيضًا، شكلوا مجموعة Telegram بعد الاتصال الأولي. مع مرور الوقت، ناقشوا استراتيجيات التداول وتكاملات الخزانة المحتملة مع المساهمين. اتبعت هذه المناقشات أنماط التأهيل القياسية لشركات التداول التي تتفاعل مع بروتوكول Drift.
من ديسمبر 2025 حتى يناير 2026، قامت المجموعة بتأهيل خزانة للنظام البيئي. قدموا تفاصيل الاستراتيجية وأودعوا أكثر من مليون دولار في البروتوكول. في غضون ذلك، أجروا جلسات عمل وطرحوا أسئلة مفصلة عن المنتج.
الاختراق مرتبط بالأدوات المشتركة والوصول إلى الأجهزة
مع تقدم محادثات التكامل في فبراير ومارس 2026، تعمقت الثقة. التقى المساهمون بالمجموعة مرة أخرى في فعاليات الصناعة، مما عزز العلاقات القائمة. ومع ذلك، حدد بروتوكول Drift لاحقًا هذه التفاعلات كناقل الاختراق المحتمل.
وفقًا لبروتوكول Drift، شارك المهاجمون مستودعات وتطبيقات ضارة أثناء التعاون. هذا على النقيض التام من تحذير ZachXBT لـ Circle بشأن تأخير اختراق الـ 280 مليون دولار. يُزعم أن أحد المساهمين استنسخ مستودع كود تم تقديمه كأداة نشر الواجهة الأمامية.
المصدر: Arkham
قام مساهم آخر بتنزيل تطبيق TestFlight موصوف بأنه منتج محفظة إلكترونية. من المحتمل أن تكون هذه الإجراءات قد عرضت الأجهزة للاختراق. بالنسبة لناقل المستودع، أشار بروتوكول Drift إلى ثغرة معروفة في VSCode و Cursor.
خلال ديسمبر 2025 حتى فبراير 2026، يمكن أن يؤدي فتح الملفات إلى تنفيذ كود صامت دون تحذيرات. بعد الاختراق، أجرى بروتوكول Drift مراجعات جنائية عبر الأجهزة والحسابات المتأثرة. والجدير بالذكر أن قنوات اتصال المهاجمين والبرامج الضارة تم مسحها فور التنفيذ.
الإسناد وجهود التحقيق الجارية
قال بروتوكول Drift إنه جمد جميع وظائف البروتوكول بعد اكتشاف الاختراق. كما أزال المحافظ الإلكترونية المخترقة من بنية التوقيعات المتعددة الخاصة به ووضع علامة على محافظ المهاجمين عبر منصات التداول والجسور. تعاونت الشركة مع Mandiant لدعم التحقيق. في هذه الأثناء، ساهم SEALs 911 بتحليل يشير إلى مجموعة تهديد معروفة.
بثقة متوسطة إلى عالية، ربطت منصة التداول اللامركزية الهجوم بالجهات الفاعلة وراء اختراق Radiant Capital في أكتوبر 2024. تم نسب تلك العملية سابقًا إلى UNC4736، المعروف أيضًا باسم AppleJeus أو Citrine Sleet.
أوضح بروتوكول Drift أن الأفراد المشاركين في الاجتماعات وجهًا لوجه لم يكونوا من مواطني كوريا الشمالية. وبدلاً من ذلك، أشار إلى أن مثل هذه العمليات غالبًا ما تستخدم وسطاء من الطرف الثالث للمشاركة الشخصية.
وفقًا لـ ZachXBT، يعكس النشاط العمليات الإلكترونية المرتبطة بكوريا الشمالية والمعروفة والتي غالبًا ما تُجمع تحت مظلة Lazarus. وأوضح أن Lazarus يشير إلى مجموعة من وحدات القرصنة، بينما تشير DPRK إلى الانتماء الحكومي وراء تلك العمليات. وأشار إلى أن هذه المجموعات تستخدم هويات متعددة الطبقات ووسطاء وبناء وصول طويل الأمد قبل تنفيذ الهجمات.
المصدر: ZachXBT
أضاف ZachXBT أن تدفقات الأموال على السلسلة المرتبطة بالاختراق تُظهر تداخلات مع محافظ إلكترونية مرتبطة بحوادث سابقة مرتبطة بكوريا الشمالية، بما في ذلك Radiant Capital. كما سلط الضوء على أوجه التشابه التشغيلية، بما في ذلك التفاعلات المرحلية وتسليم البرامج الضارة من خلال قنوات موثوقة والتنظيف السريع بعد التنفيذ.
أكد بروتوكول Drift أن جميع الموقعين على التوقيعات المتعددة استخدموا محافظ إلكترونية باردة أثناء الحادثة. ويواصل العمل مع شركاء إنفاذ القانون والطب الشرعي لإكمال التحقيق.
المصدر: https://coingape.com/drift-hack-update-protocol-shares-latest-security-update-on-april-1-exploit/
