Breach de $280M la Drift Protocol: Luni de Pregătire Deliberată

Drift Protocol, schimbul descentralizat, declară că ultima sa breșă de securitate nu a fost un incident aleatoriu, ci o operațiune de șase luni, extrem de coordonată, efectuată de o rețea structurată de actori amenințători. Evaluarea preliminară a companiei descrie atacul ca o campanie de tip servicii de informații care a necesitat susținere organizațională, resurse substanțiale și luni de pregătire deliberată. Estimările externe situează pierderile la aproximativ 280 de milioane de dolari.

Drift a urmărit planul până în octombrie 2025, când atacatorii, prezentându-se ca o firmă de tranzacționare cantitativă, au abordat contributorii Drift la o conferință majoră de criptomonede și au semnalat un interes pentru integrarea cu protocolul. În următoarele șase luni, grupul a interacționat cu contributorii Drift în persoană la mai multe evenimente din industrie. Drift a descris abordarea ca fiind țintită: persoanele din grup păreau competente din punct de vedere tehnic, aveau experiențe profesionale verificabile și erau familiarizate cu modul în care funcționa Drift. Atacatorii au valorificat întâlnirile în persoană pentru a construi încredere, apoi au folosit payloaduri și instrumente bazate pe linkuri partajate pentru a compromite dispozitivele contribuitorilor, permițând exploatarea înainte de a-și șterge urmele.

Puncte cheie

• Breșa Drift Protocol este descrisă ca o operațiune coordonată de șase luni, cu o estimare externă a pierderilor de aproape 280 de milioane de dolari.
• Investigația indică o campanie de recrutare în persoană, începută în octombrie 2025, vizând contributorii Drift.
• Atacatorii au obținut acces prin dispozitive compromise prin linkuri și instrumente malițioase, apoi au eliminat orice urmă a activității lor după execuție.
• Drift afirmă o posibilă legătură cu hackul Radiant Capital din octombrie 2024, sugerând că aceiași actori ar putea fi implicați, deși atribuirea rămâne nuanțată.
• Radiant Capital a descris incidentul din 2024 ca malware livrat prin Telegram de un hacker aliniat cu Coreea de Nord care se dădea drept fost contractor; Drift avertizează că persoanele văzute în persoană nu erau cetățeni nord-coreeni.
• Cazul subliniază riscurile de securitate în curs de desfășurare la conferințele cripto și necesitatea unei diligențe sporite la interacțiunea cu colaboratori externi.

Cronologie în desfășurare: de la curiozitatea conferinței la exploatare

Relatarea Drift indică faptul că atacatorii și-au început implicarea la o adunare proeminentă a industriei, prezentându-se ca potențiali parteneri de integrare, mai degrabă decât ca atacatori direcți. În lunile următoare, grupul s-a întâlnit cu contributorii Drift la mai multe evenimente, construind cu atenție relații și demonstrând o înțelegere tehnică credibilă a operațiunilor Drift. Această fază a ajutat atacatorii să obțină acces la canale interne și comunicări de încredere, care au devenit apoi conducta pentru exploatarea propriu-zisă.

Conform Drift, operațiunea a fost structurată în mod deliberat, cu susținere organizată și resurse care le-au permis atacatorilor să mențină o campanie de lungă durată. Atacatorii au implementat în cele din urmă instrumente și linkuri malițioase prin dispozitivele compromise ale contribuitorilor Drift, permițând breșa. După exploatare, intrușii au șters, conform rapoartelor, amprentele lor digitale, complicând răspunsul la incident și munca de criminalistică pentru Drift și partenerii săi.

Breșa servește ca o reamintire sobră pentru participanții din spațiul cripto: chiar și interacțiunile față în față la conferințe—adesea văzute ca oportunități de networking—pot fi valorificate ca vectori pentru actori amenințători sofisticați și bine dotați cu resurse. Dinamica subliniază importanța igienei stricte a dispozitivelor, practicilor de securitate stratificate și colaborării prudente cu terțe părți într-un sector în care țesătura încrederii este strâns împletită cu interoperabilitatea.

Legătura Radiant Capital: o potențială conexiune, cu precauții importante

Drift a declarat că are o încredere de la medie-mare la mare că același grup din spatele hackului Radiant Capital din octombrie 2024 ar putea fi conectat la incidentul Drift. Breșa Radiant Capital a fost dezvăluită în decembrie 2024, compania descriind intruziunea ca malware livrat prin Telegram de un actor aliniat cu Coreea de Nord care se dădea drept fost contractor. În acel caz, un fișier ZIP partajat pentru feedback printre dezvoltatori ar fi livrat malware-ul care a permis intruziunea.

Drift a subliniat că persoanele care au apărut în persoană la conferințe nu erau cetățeni nord-coreeni. Compania a remarcat, de asemenea, că actorii amenințători legați de RPDC sunt cunoscuți pentru folosirea intermediarilor terți pentru a desfășura construirea de relații față în față, un model observat și în alte cazuri. Conexiunea rămâne un subiect al investigației în curs, iar atribuirea în incidentele cibernetice complexe evoluează adesea pe măsură ce apar noi dovezi.

Pentru context, incidentul Radiant Capital a evidențiat modul în care ingineria socială și payloadurile la distanță pot converge cu construirea încrederii în persoană pentru a pătrunde chiar și în sisteme sofisticate. Convergența acestor narrative—recrutare bazată pe conferințe, malware livrat prin dispozitive compromise și legături cu hackuri anterioare de profil înalt—va fi analizată de investigatori pe măsură ce pun cap la cap întregul lanț de evenimente din jurul breșei Drift.

Investigație în curs și implicații pentru industrie

Drift a declarat că cooperează cu forțele de ordine și alți participanți din industrie pentru a asambla o imagine completă a ceea ce s-a întâmplat în timpul atacului din 1 aprilie. Dezvăluirea companiei subliniază nevoia continuă de colaborare inter-industrială în informații privind amenințări, răspuns la incidente și criminalistică post-breșă. Deși Drift nu a dezvăluit toate specificațiile tehnice ale compromiterii, accentul pus pe un efort prelungit și coordonat indică un nivel de sofisticare care se extinde dincolo de intruziunile oportuniste.

Pentru investitori și constructori în spațiul DeFi, incidentul Drift consolidează mai multe concluzii practice. În primul rând, chiar și contributorii de lungă durată și relațiile de încredere nu sunt imuni la manipulare când atacatorii combină tactici în persoană cu exploatări tehnice. În al doilea rând, atribuirea în campanii sofisticate poate fi ambiguă, necesitând revizuiri atente, bazate pe dovezi, mai degrabă decât concluzii premature. În cele din urmă, episodul evidențiază nevoia continuă de arhitecturi de securitate robuste care pot detecta și conține intruziuni multi-etapă, inclusiv credențiale compromise, puncte de sprijin la nivel de dispozitiv și urme post-exploatare.

Pe măsură ce investigația se desfășoară, cititorii ar trebui să urmărească orice actualizări privind metodele atacatorilor, noi indicatori de compromitere și orice schimbări programatice în modul în care Drift și alte protocoale abordează integrarea contribuitorilor, integrările de parteneri și manualele de răspuns la incidente. Convergența unei abordări pe mai multe luni, bazată pe conferințe, cu o potențială legătură cu breșe anterioare de profil înalt subliniază un peisaj de risc mai larg cu care se confruntă platformele descentralizate pe măsură ce se extind și colaborează în ecosistem.

Ceea ce rămâne incert este întinderea completă a impactului breșei asupra utilizatorilor și lichidității Drift, cât de rapid se va recupera platforma operațional și dacă cazuri suplimentare de atribuire vor remodela înțelegerea modelelor actorilor amenințători în spațiul DeFi. Săptămânile următoare vor fi esențiale atât pentru transparență, cât și pentru postura de securitate într-o industrie care se bazează din ce în ce mai mult pe colaborare deschisă și parteneriate transfrontaliere pentru a inova.

Privind înainte, participanții de pe piață vor dori să monitorizeze actualizările de la Drift și cercetătorii de securitate pentru orice noi descoperiri despre actori, instrumente și implicațiile mai largi pentru guvernanța DeFi, gestionarea riscurilor și practicile de colaborare bazate pe conferințe.

Acest articol a fost publicat inițial ca Drift Protocol $280M Breach: Months of Deliberate Preparation pe Crypto Breaking News – sursa ta de încredere pentru știri cripto, știri Bitcoin și actualizări blockchain.