Drift Protocol (DRIFT) đã công bố bản cập nhật chi tiết về sự cố vào ngày 5 tháng 4, tiết lộ rằng vụ tấn công trị giá 285 triệu USD vào ngày 1 tháng 4 là kết quả của một chiến dịch tình báo kéo dài sáu tháng được cho là do các tác nhân được Triều Tiên hậu thuẫn thực hiện.
Thông tin được tiết lộ mô tả một mức độ kỹ thuật xã hội vượt xa các vụ lừa đảo lừa đảo qua mạng hoặc tuyển dụng thông thường, liên quan đến các cuộc gặp trực tiếp, triển khai vốn thực tế và nhiều tháng xây dựng lòng tin.
Một Công Ty Giao Dịch Giả Mạo Chơi Chiến Thuật Dài Hạn
Theo Drift, một nhóm giả danh là công ty giao dịch định lượng lần đầu tiên tiếp cận các cộng tác viên tại một hội nghị crypto lớn vào mùa thu năm 2025.
Trong những tháng tiếp theo, những cá nhân này xuất hiện tại nhiều sự kiện trên nhiều quốc gia, tổ chức các phiên làm việc và duy trì các cuộc trò chuyện Telegram liên tục về việc tích hợp vault.
Theo dõi chúng tôi trên X để nhận tin tức mới nhất khi nó xảy ra
Từ tháng 12 năm 2025 đến tháng 1 năm 2026, nhóm này đã tạo một Ecosystem Vault trên Drift, nạp hơn 1 triệu USD vốn và tham gia vào các cuộc thảo luận chi tiết về sản phẩm.
Đến tháng 3, các cộng tác viên của Drift đã gặp những cá nhân này trực tiếp trong nhiều lần.
Ngay cả các chuyên gia bảo mật Web cũng thấy điều này đáng lo ngại, với nhà nghiên cứu Tay chia sẻ rằng ban đầu cô ấy mong đợi một vụ lừa đảo tuyển dụng điển hình nhưng thấy chiều sâu của hoạt động đáng báo động hơn nhiều.
Các Thiết Bị Đã Bị Xâm Nhập Như Thế Nào
Drift đã xác định ba vectơ tấn công có khả năng:
- Một cộng tác viên đã sao chép một kho mã mà nhóm chia sẻ cho giao diện vault.
- Một người thứ hai đã tải xuống một ứng dụng TestFlight được trình bày như một sản phẩm ví.
- Đối với vectơ kho lưu trữ, Drift đã chỉ ra một lỗ hổng VSCode và Cursor đã biết mà các nhà nghiên cứu bảo mật đã cảnh báo kể từ cuối năm 2025.
Lỗ hổng đó cho phép mã tùy ý thực thi âm thầm ngay khi một tệp hoặc thư mục được mở trong trình chỉnh sửa, không cần tương tác của người dùng.
Sau vụ rút tiền ngày 1 tháng 4, những kẻ tấn công đã xóa tất cả các cuộc trò chuyện Telegram và phần mềm độc hại. Kể từ đó, Drift đã đóng băng các chức năng giao thức còn lại và xóa các ví bị xâm nhập khỏi multisig.
Nhóm SEALS 911 đánh giá với độ tin cậy trung bình-cao rằng cùng những tác nhân đe dọa đã thực hiện vụ hack Radiant Capital vào tháng 10 năm 2024, mà Mandiant cho là do UNC4736 thực hiện.
Các luồng vốn on-chain và sự chồng chéo hoạt động giữa hai chiến dịch hỗ trợ kết nối đó.
Ngành Kêu Gọi Đặt Lại Bảo Mật
Armani Ferrante, một nhà phát triển Solana nổi bật, đã kêu gọi mọi nhóm crypto tạm dừng các nỗ lực tăng trưởng và kiểm toán toàn bộ hệ thống bảo mật của họ.
Drift lưu ý rằng những cá nhân xuất hiện trực tiếp không phải là công dân Triều Tiên. Các tác nhân đe dọa DPRK ở cấp độ này được biết là triển khai trung gian bên thứ ba để tham gia trực tiếp.
Mandiant, mà Drift đã thuê để điều tra pháp y thiết bị, vẫn chưa chính thức quy kết vụ tấn công.
Việc tiết lộ này đóng vai trò như một cảnh báo cho hệ sinh thái rộng lớn hơn. Drift kêu gọi các nhóm kiểm toán kiểm soát truy cập, coi mọi thiết bị chạm vào multisig như một mục tiêu tiềm năng và liên hệ với SEAL 911 nếu họ nghi ngờ mục tiêu tương tự.
Bài viết Vụ Trộm 285 Triệu USD Của Drift Protocol Bắt Đầu Bằng Một Cái Bắt Tay Và 6 Tháng Xây Dựng Lòng Tin xuất hiện đầu tiên trên BeInCrypto.
Nguồn: https://beincrypto.com/drift-north-korea-spy-operation-hack/
