Drift Protocol a dezvăluit detalii despre exploatarea sa din 1 aprilie 2026, prezentând un atac coordonat construit pe parcursul a șase luni. Schimbul descentralizat a declarat că breșa de securitate a urmat întâlnirilor personale, implicării tehnice și distribuției de software malițios. Incidentul, care a avut loc pe 1 aprilie, a implicat contributori compromisi și a rezultat în pierderi estimate la aproape 280 de milioane de dolari.
Drift Protocol Urmărește Ingineria Socială pe Termen Lung
Într-un articol X, Drift Protocol a declarat că atacul a început în jurul lunii octombrie 2025, la o conferință cripto majoră. Conform Drift Protocol, persoane care se prezentau drept o firmă de tranzacționare cantitativă au contactat contributori în căutarea unei integrări.
Cu toate acestea, interacțiunea nu s-a oprit acolo. Grupul a continuat să implice contributorii la multiple conferințe globale ale industriei timp de șase luni. Aceștia au prezentat experiențe profesionale verificate și au demonstrat cunoștințe tehnice fluente în timpul întâlnirilor personale repetate.
De asemenea, au format un grup Telegram după contactul inițial. De-a lungul timpului, au discutat strategii de tranzacționare și potențiale integrări vault cu contributorii. Aceste discuții au urmat tiparele standard de integrare pentru firmele de tranzacționare care interacționează cu Drift Protocol.
Din decembrie 2025 până în ianuarie 2026, grupul a integrat un vault ecosistem. Au trimis detalii despre strategie și au depus peste 1 milion de dolari în protocol. Între timp, au organizat sesiuni de lucru și au pus întrebări detaliate despre produs.
Compromiterea Legată de Instrumentele Partajate și Accesul la Dispozitive
Pe măsură ce discuțiile de integrare au progresat în februarie și martie 2026, încrederea s-a adâncit. Contributorii s-au întâlnit din nou cu grupul la evenimente ale industriei, consolidând relațiile existente. Cu toate acestea, Drift Protocol a identificat ulterior aceste interacțiuni ca fiind probabil vectorul de intruziune.
Conform Drift Protocol, atacatorii au partajat depozite și aplicații malițioase în timpul colaborării. Aceasta reprezintă un contrast complet cu apelul lui ZachXBT pe Circle privind întârzierea exploatării de 280 de milioane de dolari. Un contributor ar fi clonat un depozit de cod prezentat ca un instrument de implementare frontend.
Sursă: Arkham
Un alt contributor a descărcat o aplicație TestFlight descrisă ca un produs wallet. Aceste acțiuni au expus potențial dispozitivele la compromitere. Pentru vectorul depozitului, Drift Protocol a indicat o vulnerabilitate cunoscută în VSCode și Cursor.
În perioada decembrie 2025 până în februarie 2026, deschiderea fișierelor putea duce la executarea silențioasă a codului fără avertismente. În urma exploatării, Drift Protocol a efectuat analize forensice pe dispozitivele și conturile afectate. Este de remarcat că canalele de comunicare ale atacatorilor și malware-ul au fost șterse imediat după execuție.
Atribuire și Eforturi de Investigație în Curs
Drift Protocol a declarat că a înghețat toate funcțiile protocolului după detectarea exploatării. De asemenea, a eliminat portofelele compromise din structura sa multisig și a marcat portofelele atacatorilor pe schimburi și poduri. Firma a angajat Mandiant pentru a sprijini investigația. Între timp, SEALs 911 a contribuit cu analize care indică un grup de amenințare cunoscut.
Cu o încredere medie-ridicată, schimbul descentralizat a legat atacul de actorii din spatele hack-ului Radiant Capital din octombrie 2024. Acea operațiune a fost atribuită anterior UNC4736, cunoscut și sub numele de AppleJeus sau Citrine Sleet.
Drift Protocol a clarificat că persoanele implicate în întâlnirile față în față nu erau cetățeni nord-coreeni. În schimb, a remarcat că astfel de operațiuni folosesc adesea intermediari terți pentru implicarea personală.
Conform ZachXBT, activitatea reflectă operațiuni cibernetice cunoscute legate de RPDC, adesea grupate sub umbrela Lazarus. El a explicat că Lazarus se referă la un grup de unități de hacking, în timp ce RPDC indică afilierea de stat din spatele acelor operațiuni. A remarcat că astfel de grupuri folosesc identități stratificate, intermediari și construirea accesului pe termen lung înainte de a executa atacuri.
Sursă: ZachXBT
ZachXBT a adăugat că fluxurile de fonduri on-chain legate de exploatare arată suprapuneri cu portofele legate de incidente anterioare asociate cu RPDC, inclusiv Radiant Capital. El a evidențiat, de asemenea, similarități operaționale, inclusiv interacțiuni eșalonate, livrarea de malware prin canale de încredere și curățarea rapidă după execuție.
Drift Protocol a subliniat că toți semnatarii multi-sig au folosit portofele reci în timpul incidentului. Continuă să colaboreze cu forțele de ordine și partenerii forensici pentru a finaliza investigația.
Sursă: https://coingape.com/drift-hack-update-protocol-shares-latest-security-update-on-april-1-exploit/
