Το Drift Protocol αποκάλυψε λεπτομέρειες σχετικά με την εκμετάλλευσή του στις 1 Απριλίου 2026, περιγράφοντας μια συντονισμένη επίθεση που κατασκευάστηκε για έξι μήνες. Το αποκεντρωμένο χρηματιστήριο ανέφερε ότι η παραβίαση ακολούθησε προσωπικές συναντήσεις, τεχνική εμπλοκή και διανομή κακόβουλου λογισμικού. Το περιστατικό, το οποίο συνέβη την 1η Απριλίου, περιελάμβανε διακυβευμένους συνεισφέροντες και είχε ως αποτέλεσμα εκτιμώμενες απώλειες κοντά στα $280 εκατομμύρια.
Το Drift Protocol Ανιχνεύει Μακροπρόθεσμη Κοινωνική Μηχανική
Σε ένα άρθρο στο X, το Drift Protocol ανέφερε ότι η επίθεση ξεκίνησε περίπου τον Οκτώβριο του 2025 σε ένα μεγάλο συνέδριο κρυπτονομισμάτων. Σύμφωνα με το Drift Protocol, άτομα που υποδύονταν εταιρεία ποσοτικής διαπραγμάτευσης προσέγγισαν συνεισφέροντες αναζητώντας ενσωμάτωση.
Ωστόσο, η αλληλεπίδραση δεν σταμάτησε εκεί. Η ομάδα συνέχισε να εμπλέκει συνεισφέροντες σε πολλαπλά παγκόσμια συνέδρια του κλάδου για έξι μήνες. Παρουσίασαν επαληθευμένα επαγγελματικά ιστορικά και επέδειξαν τεχνική ευχέρεια κατά τη διάρκεια επαναλαμβανόμενων προσωπικών συναντήσεων.
Επίσης, δημιούργησαν μια ομάδα Telegram μετά την αρχική επαφή. Με την πάροδο του χρόνου, συζήτησαν στρατηγικές συναλλαγών και πιθανές ενσωματώσεις vault με συνεισφέροντες. Αυτές οι συζητήσεις ακολούθησαν τα τυπικά μοτίβα ένταξης για εταιρείες συναλλαγών που αλληλεπιδρούν με το Drift Protocol.
Από τον Δεκέμβριο του 2025 έως τον Ιανουάριο του 2026, η ομάδα ένταξε ένα vault οικοσυστήματος. Υπέβαλαν λεπτομέρειες στρατηγικής και κατέθεσαν πάνω από $1 εκατομμύριο στο πρωτόκολλο. Εν τω μεταξύ, διεξήγαγαν συνεδρίες εργασίας και έθεσαν λεπτομερείς ερωτήσεις προϊόντων.
Παραβίαση Συνδεδεμένη με Κοινόχρηστα Εργαλεία και Πρόσβαση σε Συσκευές
Καθώς οι συζητήσεις ενσωμάτωσης προχωρούσαν στον Φεβρουάριο και Μάρτιο του 2026, η εμπιστοσύνη εμβάθυνε. Οι συνεισφέροντες συνάντησαν την ομάδα ξανά σε εκδηλώσεις του κλάδου, ενισχύοντας τις υπάρχουσες σχέσεις. Ωστόσο, το Drift Protocol αργότερα προσδιόρισε αυτές τις αλληλεπιδράσεις ως τον πιθανό φορέα εισβολής.
Σύμφωνα με το Drift Protocol, οι επιτιθέμενοι μοιράστηκαν κακόβουλα αποθετήρια και εφαρμογές κατά τη διάρκεια της συνεργασίας. Αυτό αντιτίθεται πλήρως με την καταγγελία του ZachXBT στο Circle σχετικά με την καθυστέρηση της εκμετάλλευσης των $280M. Ένας συνεισφέρων φέρεται να κλωνοποίησε ένα αποθετήριο κώδικα που παρουσιάστηκε ως εργαλείο ανάπτυξης frontend.
Πηγή: Arkham
Ένας άλλος συνεισφέρων κατέβασε μια εφαρμογή TestFlight που περιγράφηκε ως προϊόν πορτοφολιού. Αυτές οι ενέργειες ενδεχομένως εξέθεσαν συσκευές σε κίνδυνο. Για το φορέα αποθετηρίου, το Drift Protocol επεσήμανε μια γνωστή ευπάθεια στο VSCode και το Cursor.
Κατά τη διάρκεια Δεκεμβρίου 2025 έως Φεβρουαρίου 2026, το άνοιγμα αρχείων θα μπορούσε να οδηγήσει σε σιωπηλή εκτέλεση κώδικα χωρίς προειδοποιήσεις. Μετά την εκμετάλλευση, το Drift Protocol διεξήγαγε εγκληματολογικές αναθεωρήσεις σε επηρεαζόμενες συσκευές και λογαριασμούς. Αξιοσημείωτα, τα κανάλια επικοινωνίας των επιτιθέμενων και το κακόβουλο λογισμικό διαγράφηκαν αμέσως μετά την εκτέλεση.
Απόδοση και Συνεχιζόμενες Προσπάθειες Έρευνας
Το Drift Protocol ανέφερε ότι πάγωσε όλες τις λειτουργίες πρωτοκόλλου μετά την ανίχνευση της εκμετάλλευσης. Επίσης, αφαίρεσε τα διακυβευμένα πορτοφόλια από τη δομή multisig του και επισήμανε τα πορτοφόλια των επιτιθέμενων σε χρηματιστήρια και γέφυρες. Η εταιρεία προσέλαβε την Mandiant για να υποστηρίξει την έρευνα. Εν τω μεταξύ, οι SEALs 911 συνέβαλαν ανάλυση που υποδεικνύει μια γνωστή ομάδα απειλών.
Με μέτρια-υψηλή εμπιστοσύνη, το αποκεντρωμένο χρηματιστήριο συνέδεσε την επίθεση με δράστες πίσω από το χακάρισμα του Radiant Capital τον Οκτώβριο του 2024. Αυτή η επιχείρηση αποδόθηκε προηγουμένως στο UNC4736, γνωστό και ως AppleJeus ή Citrine Sleet.
Το Drift Protocol διευκρίνισε ότι τα άτομα που εμπλέκονταν σε προσωπικές συναντήσεις δεν ήταν υπήκοοι της Βόρειας Κορέας. Αντίθετα, σημείωσε ότι τέτοιες επιχειρήσεις συχνά χρησιμοποιούν μεσάζοντες τρίτων για προσωπική εμπλοκή.
Σύμφωνα με τον ZachXBT, η δραστηριότητα αντικατοπτρίζει γνωστές κυβερνοεπιχειρήσεις συνδεδεμένες με τη DPRK που συχνά ομαδοποιούνται κάτω από την ομπρέλα Lazarus. Εξήγησε ότι το Lazarus αναφέρεται σε ένα σύμπλεγμα μονάδων χακαρίσματος, ενώ η DPRK υποδεικνύει κρατική σύνδεση πίσω από αυτές τις επιχειρήσεις. Σημείωσε ότι τέτοιες ομάδες χρησιμοποιούν στρωματοποιημένες ταυτότητες, μεσάζοντες και μακροπρόθεσμη οικοδόμηση πρόσβασης πριν εκτελέσουν επιθέσεις.
Πηγή: ZachXBT
Ο ZachXBT πρόσθεσε ότι οι on-chain ροές κεφαλαίων που συνδέονται με την εκμετάλλευση δείχνουν επικαλύψεις με πορτοφόλια που συνδέονται με προηγούμενα περιστατικά σχετιζόμενα με τη DPRK, συμπεριλαμβανομένου του Radiant Capital. Επίσης, επεσήμανε επιχειρησιακές ομοιότητες, συμπεριλαμβανομένων σκηνοθετημένων αλληλεπιδράσεων, παράδοσης κακόβουλου λογισμικού μέσω αξιόπιστων καναλιών και γρήγορου καθαρισμού μετά την εκτέλεση.
Το Drift Protocol τόνισε ότι όλοι οι υπογράφοντες multi-sig χρησιμοποίησαν cold wallets κατά τη διάρκεια του περιστατικού. Συνεχίζει να εργάζεται με την επιβολή του νόμου και εταίρους εγκληματολογίας για να ολοκληρώσει την έρευνα.
Πηγή: https://coingape.com/drift-hack-update-protocol-shares-latest-security-update-on-april-1-exploit/
