Naruszenie Drift Protocol o wartości 280 mln USD: Miesiące przemyślanego przygotowania

Drift Protocol, zdecentralizowana giełda, twierdzi, że jej ostatnie naruszenie nie było przypadkowym incydentem, lecz sześciomiesięczną, wysoce skoordynowaną operacją przeprowadzoną przez zorganizowaną sieć podmiotów zagrażających. Wstępna ocena firmy opisuje atak jako kampanię w stylu wywiadowczym, która wymagała wsparcia organizacyjnego, znacznych zasobów oraz miesięcy celowych przygotowań. Zewnętrzne szacunki oceniają straty na około 280 milionów dolarów.

Drift prześledził plan do października 2025 roku, kiedy atakujący podający się za firmę zajmującą się handlem ilościowym nawiązali kontakt z współpracownikami Drift na dużej konferencji kryptowalutowej i wyrazili zainteresowanie integracją z protokołem. W ciągu następnych sześciu miesięcy grupa spotykała się osobiście z współpracownikami Drift na wielu wydarzeniach branżowych. Drift opisał podejście jako ukierunkowane: osoby z grupy sprawiały wrażenie biegłych technicznie, posiadały weryfikowalne profesjonalne doświadczenie i znały sposób działania Drift. Atakujący wykorzystali osobiste spotkania do budowania zaufania, a następnie użyli współdzielonych ładunków opartych na linkach i narzędzi do kompromitacji urządzeń współpracowników, umożliwiając exploit przed zatarciem śladów.

Kluczowe wnioski

• Naruszenie Drift Protocol jest opisywane jako sześciomiesięczna, skoordynowana operacja z zewnętrznym szacunkiem strat na blisko 280 milionów dolarów.
• Śledztwo wskazuje na osobistą kampanię rekrutacyjną podczas konferencji, rozpoczętą około października 2025 roku, skierowaną do współpracowników Drift.
• Atakujący uzyskali dostęp poprzez skompromitowane urządzenia za pomocą złośliwych linków i narzędzi, a następnie usunęli wszelkie ślady swojej aktywności po wykonaniu.
• Drift twierdzi, że możliwy jest związek z hackiem Radiant Capital z października 2024 roku, sugerując zaangażowanie tych samych aktorów, choć atrybucja pozostaje złożona.
• Radiant Capital opisał incydent z 2024 roku jako złośliwe oprogramowanie dostarczone przez Telegram od hakera powiązanego z Koreą Północną podającego się za byłego wykonawcę; Drift ostrzega, że osoby widziane osobiście nie były obywatelami Korei Północnej.
• Sprawa podkreśla trwające zagrożenia bezpieczeństwa na konferencjach kryptowalutowych oraz potrzebę zwiększonej staranności podczas współpracy z zewnętrznymi partnerami.

Rozwijający się harmonogram: od zainteresowania na konferencji do exploitu

Relacja Drift wskazuje, że atakujący rozpoczęli swoje zaangażowanie na prominentnym wydarzeniu branżowym, prezentując się jako potencjalni partnerzy integracyjni, a nie jawni atakujący. W ciągu kolejnych miesięcy grupa spotykała się ze współpracownikami Drift na kilku wydarzeniach, starannie budując relacje i demonstrując wiarygodne zrozumienie techniczne operacji Drift. Ta faza pomogła atakującym uzyskać dostęp do wewnętrznych kanałów i zaufanej komunikacji, które następnie stały się przewodem dla samego exploitu.

Według Drift operacja była celowo zorganizowana, z zorganizowanym wsparciem i zasobami, które pozwoliły atakującym prowadzić długotrwałą kampanię. Atakujący ostatecznie wdrożyli złośliwe narzędzia i linki poprzez skompromitowane urządzenia współpracowników Drift, umożliwiając naruszenie. Po exploicie intrusi rzekomo wymazali swoje cyfrowe ślady, komplikując reagowanie na incydent i pracę kryminalistyczną dla Drift i jego partnerów.

Naruszenie służy jako trzeźwiący przypomnienie dla uczestników przestrzeni kryptowalutowej: nawet interakcje twarzą w twarz na konferencjach — często postrzegane jako możliwości networkingowe — mogą być wykorzystywane jako wektory dla wyrafinowanych, dobrze wyposażonych podmiotów zagrażających. Ta dynamika podkreśla znaczenie ścisłej higieny urządzeń, warstwowych praktyk bezpieczeństwa oraz ostrożnej współpracy z osobami trzecimi w sektorze, gdzie tkanka zaufania jest ściśle spleciona z interoperacyjnością.

Powiązanie z Radiant Capital: potencjalny wątek przewodni z ważnymi zastrzeżeniami

Drift stwierdził, że ma wysoką do średnio-wysokiej pewność, że ta sama grupa stojąca za hackiem Radiant Capital z października 2024 roku może być powiązana z incydentem Drift. Naruszenie Radiant Capital zostało ujawnione w grudniu 2024 roku, a firma opisała wtargnięcie jako złośliwe oprogramowanie dostarczone przez Telegram przez aktora powiązanego z Koreą Północną podającego się za byłego wykonawcę. W tym przypadku plik ZIP udostępniony w celu uzyskania opinii wśród programistów rzekomo dostarczył złośliwe oprogramowanie, które umożliwiło wtargnięcie.

Drift podkreślił, że osoby, które pojawiły się osobiście na konferencjach, nie były obywatelami Korei Północnej. Firma zauważyła również, że podmioty zagrażające powiązane z KRLD są znane z wykorzystywania pośredników trzecich do prowadzenia osobistego budowania relacji, wzorzec obserwowany również w innych przypadkach. Połączenie pozostaje przedmiotem trwającego śledztwa, a atrybucja w złożonych incydentach cybernetycznych często ewoluuje w miarę ujawniania się nowych dowodów.

Dla kontekstu incydent Radiant Capital podkreślił, jak socjotechnika i zdalne ładunki mogą łączyć się z osobistym budowaniem zaufania, aby naruszyć nawet wyrafinowane systemy. Zbieżność tych narracji — rekrutacja oparta na konferencjach, złośliwe oprogramowanie dostarczone przez skompromitowane urządzenia oraz powiązania z wcześniejszymi głośnymi hakami — będzie badana przez śledczych podczas składania pełnego łańcucha wydarzeń związanych z naruszeniem Drift.

Trwające śledztwo i implikacje dla branży

Drift stwierdził, że współpracuje z organami ścigania i innymi uczestnikami branży w celu zebrania pełnego obrazu tego, co wydarzyło się podczas ataku z 1 kwietnia. Ujawnienie firmy podkreśla ciągłą potrzebę współpracy międzybranżowej w zakresie wywiadu o zagrożeniach, reagowania na incydenty i kryminalistyki po naruszeniu. Chociaż Drift nie ujawnił wszystkich szczegółów technicznych kompromitacji, nacisk na przedłużone, skoordynowane działanie wskazuje na poziom wyrafinowania wykraczający poza oportunistyczne wtargnięcia.

Dla inwestorów i twórców w przestrzeni DeFi incydent Drift wzmacnia kilka praktycznych wniosków. Po pierwsze, nawet długoletni współpracownicy i zaufane relacje nie są odporne na manipulację, gdy atakujący łączą taktyki osobiste z eksploatacją techniczną. Po drugie, atrybucja w wyrafinowanych kampaniach może być niejednoznaczna, wymagając ostrożnych, opartych na dowodach przeglądów zamiast przedwczesnych wniosków. Wreszcie epizod podkreśla ciągłą potrzebę solidnych architektur bezpieczeństwa, które mogą wykrywać i powstrzymywać wieloetapowe wtargnięcia, w tym skompromitowane dane uwierzytelniające, punkty zaczepienia na poziomie urządzeń i ślady po eksploatacji.

W miarę rozwijania się śledztwa czytelnicy powinni obserwować wszelkie aktualizacje dotyczące metod atakujących, nowych wskaźników kompromitacji oraz wszelkich programowych zmian w sposobie, w jaki Drift i inne protokoły podchodzą do onboardingu współpracowników, integracji partnerów i podręczników reagowania na incydenty. Zbieżność wielomiesięcznego podejścia opartego na konferencjach z potencjalnym powiązaniem z wcześniejszymi głośnymi naruszeniami podkreśla szerszy krajobraz ryzyka, przed którym stoją zdecentralizowane platformy w miarę skalowania i współpracy w ekosystemie.

To, co pozostaje niepewne, to pełen zakres wpływu naruszenia na użytkowników i płynność Drift, jak szybko platforma wróci do sprawności operacyjnej oraz czy dodatkowe przypadki atrybucji zmienią rozumienie wzorców podmiotów zagrażających w przestrzeni DeFi. Nadchodzące tygodnie będą kluczowe zarówno dla przejrzystości, jak i postawy bezpieczeństwa w branży, która coraz bardziej polega na otwartej współpracy i partnerstwach transgranicznych w celu innowacji.

Patrząc w przyszłość, uczestnicy rynku będą chcieli monitorować aktualizacje od Drift i powiązanych badaczy bezpieczeństwa w celu uzyskania nowych ustaleń dotyczących aktorów, narzędzi i szerszych implikacji dla zarządzania DeFi, zarządzania ryzykiem i praktyk współpracy opartej na konferencjach.

Ten artykuł został pierwotnie opublikowany jako Drift Protocol $280M Breach: Months of Deliberate Preparation na Crypto Breaking News – Twoje zaufane źródło wiadomości o kryptowalutach, wiadomości o Bitcoin i aktualizacjach blockchain.