Drift Protocol(DRIFT)は4月5日に詳細なインシデント更新を公開し、4月1日の2億8500万ドルのエクスプロイトが、北朝鮮国家支援のアクターによる6か月間の諜報活動の結果であったことを明らかにした。
この開示は、典型的なフィッシングやリクルーター詐欺をはるかに超えるソーシャルエンジニアリングのレベルを説明しており、対面での会議、実際の資本展開、そして数か月にわたる信頼構築が含まれている。
長期戦を仕掛けた偽の取引会社
Driftによると、クオンツ取引会社を装ったグループが、2025年秋の主要な暗号資産カンファレンスで初めて貢献者たちにアプローチした。
その後の数か月間、これらの個人は複数の国で複数のイベントに出席し、作業セッションを開催し、ボールト統合に関する継続的なTelegram会話を維持した。
最新ニュースをリアルタイムで入手するには、Xでフォローしてください
2025年12月から2026年1月の間に、このグループはDrift上のEcosystem Vaultをオンボードし、100万ドル以上の資本を入金し、詳細な製品ディスカッションに参加した。
3月までに、Driftの貢献者たちは、これらの個人と何度も対面で会っていた。
Webセキュリティの専門家でさえこれを懸念しており、研究者のTayは、当初は典型的なリクルーター詐欺を予想していたが、この作戦の深さははるかに警戒すべきものであったと述べている。
デバイスはどのように侵害されたか
Driftは3つの可能性のある攻撃ベクトルを特定した:
- ある貢献者が、グループがボールトフロントエンド用に共有したコードリポジトリをクローンした。
- 別の人物が、ウォレット製品として提示されたTestFlightアプリケーションをダウンロードした。
- リポジトリベクトルについて、Driftは、セキュリティ研究者が2025年後半から警告していた既知のVSCodeとCursorの脆弱性を指摘した。
この欠陥により、ファイルまたはフォルダがエディタで開かれた瞬間に、ユーザーの操作を必要とせず、任意のコードが静かに実行されることが可能になった。
4月1日の資金流出後、攻撃者はすべてのTelegramチャットと悪意のあるソフトウェアを削除した。Driftはその後、残りのプロトコル機能を凍結し、侵害されたウォレットをマルチシグから削除した。
SEALS 911チームは、同じ脅威アクターが2024年10月のRadiant Capitalハッキングを実行したと中高度の信頼度で評価しており、MandiantはこれをUNC4736に帰属させている。
オンチェーンの資金フローと2つのキャンペーン間の運用上の重複が、その関連性を裏付けている。
業界がセキュリティリセットを求める
著名なSolana開発者であるArmani Ferranteは、すべての暗号資産チームに対し、成長努力を一時停止し、セキュリティスタック全体を監査するよう呼びかけた。
Driftは、対面で現れた個人は北朝鮮国民ではなかったと指摘した。このレベルのDPRK脅威アクターは、対面でのエンゲージメントのために第三者仲介者を展開することで知られている。
Driftがデバイスフォレンジックのために関与させたMandiantは、まだ正式にエクスプロイトを帰属させていない。
この開示は、より広範なエコシステムへの警告として機能する。Driftは、チームにアクセス制御を監査し、マルチシグに触れるすべてのデバイスを潜在的なターゲットとして扱い、同様のターゲティングを疑う場合はSEAL 911に連絡するよう促した。
Drift Protocolの2億8500万ドルの強奪は握手と6か月の信頼から始まったという投稿は、BeInCryptoに最初に掲載されました。
Source: https://beincrypto.com/drift-north-korea-spy-operation-hack/
