Drift Protocol розкрив деталі щодо свого експлойту 1 квітня 2026 року, описавши скоординовану атаку, підготовлену протягом шести місяців. Децентралізована біржа повідомила, що порушення відбулося після особистих зустрічей, технічної взаємодії та розповсюдження шкідливого програмного забезпечення. Інцидент, який стався 1 квітня, залучав скомпрометованих учасників і призвів до оцінених збитків близько $280 мільйонів.
Drift Protocol простежує довгострокову соціальну інженерію
У статті X, Drift Protocol повідомив, що атака розпочалася приблизно в жовтні 2025 року на великій крипто-конференції. Згідно з Drift Protocol, особи, які видавали себе за кількісну торгову фірму, звернулися до учасників із пропозицією інтеграції.
Однак взаємодія на цьому не зупинилася. Група продовжувала залучати учасників на багатьох глобальних галузевих конференціях протягом шести місяців. Вони представили перевірені професійні біографії та продемонстрували технічну компетентність під час повторних особистих зустрічей.
Також вони створили групу Telegram після початкового контакту. З часом вони обговорювали торгові стратегії та потенційні інтеграції сховищ з учасниками. Ці обговорення відповідали стандартним схемам онбордингу для торгових фірм, що взаємодіють із Drift Protocol.
З грудня 2025 року по січень 2026 року група підключила екосистемне сховище. Вони надали деталі стратегії та внесли понад $1 мільйон до протоколу. Тим часом вони проводили робочі сесії та ставили детальні питання про продукт.
Компрометація пов'язана зі спільними інструментами та доступом до пристроїв
У міру того, як переговори щодо інтеграції прогресували в лютому та березні 2026 року, довіра поглиблювалася. Учасники знову зустрілися з групою на галузевих заходах, зміцнюючи існуючі відносини. Однак Drift Protocol пізніше визначив ці взаємодії як ймовірний вектор вторгнення.
Згідно з Drift Protocol, зловмисники ділилися шкідливими репозиторіями та додатками під час співпраці. Це повна протилежність заяві ZachXBT щодо Circle про затримку експлойту на $280 мільйонів. Один учасник нібито клонував репозиторій коду, представлений як інструмент розгортання фронтенду.
Джерело: Arkham
Інший учасник завантажив додаток TestFlight, описаний як продукт гаманця. Ці дії потенційно піддали пристрої компрометації. Щодо вектора репозиторію, Drift Protocol вказав на відому вразливість у VSCode та Cursor.
З грудня 2025 року по лютий 2026 року відкриття файлів могло призвести до тихого виконання коду без попереджень. Після експлойту Drift Protocol провів криміналістичні перевірки всіх уражених пристроїв та акаунтів. Примітно, що канали зв'язку зловмисників і шкідливе програмне забезпечення були видалені відразу після виконання.
Атрибуція та поточні розслідування
Drift Protocol повідомив, що заморозив усі функції протоколу після виявлення експлойту. Він також видалив скомпрометовані гаманці зі своєї структури гаманця з мультипідписом і позначив гаманці зловмисників на біржах і мостах. Фірма залучила Mandiant для підтримки розслідування. Тим часом SEALs 911 надав аналіз, що вказує на відому групу загроз.
З середньо-високою впевненістю, децентралізована біржа пов'язала атаку з акторами, які стояли за злом Radiant Capital у жовтні 2024 року. Ця операція раніше приписувалася UNC4736, також відомій як AppleJeus або Citrine Sleet.
Drift Protocol уточнив, що особи, залучені до особистих зустрічей, не були громадянами Північної Кореї. Натомість він зазначив, що такі операції часто використовують сторонніх посередників для особистої взаємодії.
Згідно з ZachXBT, активність відображає відомі кіберопераці, пов'язані з КНДР, які часто групуються під парасолькою Lazarus. Він пояснив, що Lazarus відноситься до кластера хакерських підрозділів, тоді як КНДР вказує на державну приналежність цих операцій. Він зазначив, що такі групи використовують багатошарові ідентичності, посередників і довгострокове побудову доступу перед виконанням атак.
Джерело: ZachXBT
ZachXBT додав, що потоки коштів ончейн, пов'язані з експлойтом, показують збіги з гаманцями, пов'язаними з попередніми інцидентами, асоційованими з КНДР, включаючи Radiant Capital. Він також підкреслив операційні подібності, включаючи поетапні взаємодії, доставку шкідливого програмного забезпечення через довірені канали та швидке очищення після виконання.
Drift Protocol підкреслив, що всі підписанти мультипідпису використовували холодні гаманці під час інциденту. Він продовжує працювати з правоохоронними органами та криміналістичними партнерами для завершення розслідування.
Джерело: https://coingape.com/drift-hack-update-protocol-shares-latest-security-update-on-april-1-exploit/
