To, co początkowo wydawało się nagłym exploitem, zostało teraz ujawnione jako długoterminowa, wysoce skoordynowana operacja. Drift Protocol ujawnił, że hack na 270 milionów dolarów był wynikiem sześciomiesięcznej kampanii infiltracji, rzekomo powiązanej z aktorami związanymi z państwem północnokoreańskim.
Zamiast wykorzystywać prostą lukę, atakujący powoli budowali zaufanie, podszywając się pod legalną firmę zajmującą się handlem ilościowym i osadzając się w ekosystemie. Ich podejście wykraczało poza cyfrowe oszustwo. Bezpośrednio angażowali współpracowników, uczestniczyli w konferencjach kryptowalutowych i nawiązywali relacje, które na każdym poziomie wydawały się wiarygodne.
To nie był atak typu „złap i uciekaj". Był obliczony, cierpliwy i zaprojektowany, aby ominąć nie tylko zabezpieczenia techniczne, ale także ludzkie zaufanie.
Pierwszy kontakt rozpoczyna się na konferencjach kryptowalutowych
Operacja rozpoczęła się podobno jesienią 2025 roku, kiedy atakujący nawiązali pierwszy kontakt na dużej konferencji kryptowalutowej. W tamtym czasie nie było natychmiastowych sygnałów ostrzegawczych. Grupa przedstawiła się jako technicznie biegli profesjonaliści z weryfikowalnymi CV.
Mówili płynnie językiem DeFi, wykazując głębokie zrozumienie infrastruktury Drift i mechanizmów handlowych. Ten poziom wiedzy pomógł im bezproblemowo wtopić się w legalnych współpracowników i partnerów.
Wkrótce potem komunikacja przeniosła się na Telegram, gdzie dyskusje trwały przez kilka miesięcy. Te interakcje nie były pośpieszne ani podejrzane. Zamiast tego odzwierciedlały rytm prawdziwej współpracy, wraz z dyskusjami technicznymi, strategicznym wkładem i ciągłym zaangażowaniem.
Utrzymując spójność i wiarygodność, atakujący stopniowo budowali zaufanie w społeczności.
Budowanie zaufania poprzez kapitał i współpracę
Do stycznia 2026 roku grupa jeszcze bardziej zaangażowała się. Z powodzeniem wdrożyli Ecosystem Vault i zaczęli uczestniczyć w sesjach roboczych wraz z współpracownikami Drift.
Co kluczowe, zaangażowali również prawdziwy kapitał, deponując ponad 1 milion dolarów własnych środków w protokole. Ten ruch wzmocnił ich legitymację, sygnalizując, że mają w tym swój udział.
W lutym i marcu członkowie ekosystemu Drift spotkali się osobiście z tymi osobami w wielu krajach. Te osobiste spotkania dodały kolejną warstwę zaufania, sprawiając, że ich intencje były jeszcze mniej prawdopodobne do zakwestionowania.
Zanim atak został wykonany, relacja między atakującymi a społecznością była ustanowiona przez prawie sześć miesięcy. To był poziom infiltracji rzadko spotykany w exploitach DeFi.
Wykonanie ataku wykorzystało zaawansowane punkty wejścia
Kiedy wreszcie doszło do kompromitacji, nastąpiła ona przez dwa bardzo ukierunkowane wektory.
Pierwszy dotyczył złośliwej aplikacji TestFlight, przedstawionej jako legalny produkt portfela. Umożliwiło to atakującym uzyskanie dostępu do urządzeń współpracowników pod pozorem testowania nowych narzędzi.
Drugi wektor wykorzystał znaną lukę w środowiskach programistycznych, takich jak VSCode i Cursor. Ta wada, zgłoszona przez społeczność bezpieczeństwa miesiące wcześniej, umożliwiła wykonanie dowolnego kodu po prostu przez otwarcie pliku.
Razem te metody pozwoliły atakującym skompromitować kluczowe urządzenia bez wzbudzania natychmiastowych podejrzeń. Gdy się dostali, byli w stanie uzyskać dostęp do wrażliwych przepływów pracy i mechanizmów zatwierdzania.
Ten etap operacji podkreśla krytyczną zmianę w strategiach ataku. Zamiast bezpośrednio atakować inteligentne kontrakty, atakujący coraz częściej koncentrują się na warstwach ludzkich i narzędziowych wokół nich.
Słabości Multisig ujawnione w końcowym wycieńczeniu
Po zabezpieczeniu dostępu atakujący przeszli do ostatniej fazy: wykonania.
Uzyskali dwa zatwierdzenia multisig, które następnie zostały użyte do autoryzacji transakcji. Warto zauważyć, że transakcje te zostały wcześniej podpisane i pozostawione uśpione przez ponad tydzień, unikając natychmiastowego wykrycia.
1 kwietnia atakujący działali. W niecałą minutę z skarbców Drift wypłynęło około 270 milionów dolarów.
Szybkość i precyzja wykonania pozostawiła niewiele miejsca na interwencję. Zanim transakcje zostały rozpoznane, środki już zostały przeniesione.
Drift od tego czasu ostrzegł, że ten incydent ujawnia fundamentalne słabości w modelach bezpieczeństwa opartych na multisig. Chociaż systemy multisig są zaprojektowane do rozproszenia zaufania, pozostają podatne na ataki, gdy sami sygnatariusze zostaną skompromitowani.
Powiązania z aktorami państwowymi Korei Północnej wychodzą na jaw
Śledztwa dotyczące ataku powiązały operację z UNC4736, grupą znaną również jako AppleJeus lub Citrine Sleet. Ta jednostka jest powszechnie kojarzona z operacjami cybernetycznymi Korei Północnej i została powiązana z poprzednimi głośnymi exploitami, w tym atakiem na Radiant Capital.
Co ciekawe, osoby, które bezpośrednio kontaktowały się ze współpracownikami Drift, nie zostały zidentyfikowane jako obywatele Korei Północnej. Zamiast tego wydają się być pośrednikami trzecimi, wyposażonymi w starannie skonstruowane tożsamości zaprojektowane do wytrzymania kontroli.
To warstwowe podejście sprawia, że atrybucja jest bardziej złożona, jednocześnie zwiększając skuteczność operacji. Oddzielając aktorów w terenie od koordynującej jednostki, atakujący byli w stanie utrzymać wiarygodną legitymację przez całą infiltrację.
Sygnał ostrzegawczy dla modeli bezpieczeństwa DeFi
Exploit Drift zmusza branżę do konfrontacji z niewygodną rzeczywistością. Tradycyjne modele bezpieczeństwa, skoncentrowane na audytach kodu, lukach w inteligentnych kontraktach i ochronie multisig, mogą nie wystarczyć do obrony przed przeciwnikami gotowymi zainwestować czas, pieniądze i zasoby ludzkie.
Jeśli atakujący mogą spędzić sześć miesięcy na budowaniu relacji, rozmieszczać kapitał, aby zyskać zaufanie i fizycznie spotykać się z zespołami, powierzchnia ataku rozciąga się daleko poza kod.
To stawia kluczowe pytanie dla ekosystemu DeFi: jaki rodzaj ram bezpieczeństwa może wykryć i zapobiec temu poziomowi infiltracji?
Na razie incydent stanowi jeden z najbardziej wyrafinowanych exploitów opartych na inżynierii społecznej w historii kryptowalut. Podkreśla potrzebę bardziej holistycznego podejścia do bezpieczeństwa, takiego, które uwzględnia ludzkie zachowanie, procesy operacyjne i coraz bardziej rozmyte granice między interakcjami online i offline.
W miarę jak protokoły nadal rosną i przyciągają więcej kapitału, stawka będzie tylko rosła. I jak pokazuje ten przypadek, następna generacja ataków może nie pochodzić od anonimowych portfeli, ale od zaufanych partnerów siedzących po drugiej stronie stołu.
Ujawnienie: To nie jest porada handlowa ani inwestycyjna. Zawsze przeprowadzaj własne badania przed zakupem jakiejkolwiek kryptowaluty lub inwestowaniem w jakiekolwiek usługi.
Śledź nas na Twitterze @nulltxnews aby być na bieżąco z najnowszymi wiadomościami dotyczącymi Crypto, NFT, AI, Cyberbezpieczeństwa, Distributed Computing i Metaverse!
Źródło: https://nulltx.com/north-korea-linked-group-behind-270m-drift-hack-six-month-plot-revealed/
