آنچه در ابتدا به نظر یک سوء استفاده ناگهانی میرسید، اکنون به عنوان یک عملیات بلندمدت و بسیار هماهنگ فاش شده است. پروتکل Drift افشا کرده که هک ۲۷۰ میلیون دلاری نتیجه یک کمپین نفوذ شش ماهه بوده که ظاهراً به بازیگران مرتبط با دولت کره شمالی وابسته است.
مهاجمان به جای سوء استفاده از یک آسیبپذیری ساده، به آرامی اعتماد ایجاد کردند، خود را به عنوان یک شرکت معاملاتی کمی مشروع معرفی کردند و خود را در درون اکوسیستم جاسازی کردند. رویکرد آنها فراتر از فریب دیجیتال بود. آنها مستقیماً با مشارکتکنندگان درگیر شدند، در کنفرانسهای کریپتو شرکت کردند و روابطی برقرار کردند که در هر سطح معتبر به نظر میرسید.
این یک حمله سریع و ناگهانی نبود. محاسبه شده، صبورانه و طراحی شده بود تا نه تنها دفاعهای فنی بلکه اعتماد انسانی را دور بزند.
تماس اول در کنفرانسهای کریپتو آغاز میشود
گزارش شده که این عملیات در پاییز ۲۰۲۵ آغاز شد، زمانی که مهاجمان اولین تماس را در یک کنفرانس بزرگ کریپتو برقرار کردند. در آن زمان، هیچ علامت خطر فوری وجود نداشت. گروه خود را به عنوان متخصصان فنی ماهر با سوابق قابل تایید معرفی کردند.
آنها زبان امور مالی غیر متمرکز با نام اختصاری دیفای را روان صحبت میکردند و درک عمیقی از زیرساخت Drift و مکانیزمهای معاملاتی نشان دادند. این سطح از تخصص به آنها کمک کرد تا به طور یکپارچه با مشارکتکنندگان و شرکای مشروع ادغام شوند.
بلافاصله پس از آن، ارتباطات به تلگرام منتقل شد، جایی که بحثها طی چندین ماه ادامه یافت. این تعاملات عجولانه یا مشکوک نبودند. در عوض، آنها ریتم همکاری واقعی را منعکس میکردند، کامل با بحثهای فنی، ورودی استراتژیک و تعامل مداوم.
با حفظ ثبات و اعتبار، مهاجمان به تدریج اعتماد را در درون جامعه ایجاد کردند.
ایجاد اعتماد از طریق سرمایه و همکاری
تا ژانویه ۲۰۲۶، این گروه مشارکت خود را حتی بیشتر پیش برد. آنها با موفقیت یک گاوصندوق اکوسیستم را راهاندازی کردند و شروع به شرکت در جلسات کاری در کنار مشارکتکنندگان Drift کردند.
از همه مهمتر، آنها سرمایه واقعی را متعهد کردند و بیش از ۱ میلیون دلار از وجوه خود را در پروتکل سپردهگذاری کردند. این اقدام مشروعیت آنها را تقویت کرد و نشان داد که آنها در بازی دخیل هستند.
در طول فوریه و مارس، اعضای اکوسیستم Drift با این افراد به صورت حضوری در کشورهای مختلف ملاقات کردند. این تعاملات رو در رو لایه دیگری از اعتماد را اضافه کرد و احتمال زیر سوال رفتن نیات آنها را حتی کمتر کرد.
تا زمانی که حمله اجرا شد، رابطه بین مهاجمان و جامعه نزدیک به شش ماه برقرار شده بود. این سطحی از نفوذ بود که به ندرت در سوء استفادههای دیفای دیده میشود.
اجرای حمله از نقاط ورودی پیچیده استفاده کرد
هنگامی که در نهایت نقض امنیتی رخ داد، از طریق دو بردار بسیار هدفمند انجام شد.
اولین مورد شامل یک برنامه TestFlight مخرب بود که به عنوان یک محصول کیف پول مشروع ارائه شد. این به مهاجمان اجازه داد تا تحت پوشش آزمایش ابزارهای جدید به دستگاههای مشارکتکنندگان دسترسی پیدا کنند.
بردار دوم از یک آسیبپذیری شناخته شده در محیطهای توسعه مانند VSCode و Cursor سوء استفاده کرد. این نقص که ماهها قبل توسط جامعه امنیتی علامتگذاری شده بود، اجرای کد دلخواه را به سادگی با باز کردن یک فایل امکانپذیر کرد.
با هم، این روشها به مهاجمان اجازه دادند تا دستگاههای کلیدی را بدون ایجاد سوءظن فوری به خطر بیندازند. هنگامی که وارد شدند، آنها توانستند به گردشهای کاری حساس و مکانیزمهای تایید دسترسی پیدا کنند.
این مرحله از عملیات تغییر حیاتی در استراتژیهای حمله را برجسته میکند. به جای هدف قرار دادن مستقیم قراردادهای هوشمند، مهاجمان به طور فزایندهای بر لایههای انسانی و ابزاری اطراف آنها تمرکز میکنند.
نقاط ضعف Multisig در تخلیه نهایی فاش شد
با تامین دسترسی، مهاجمان به مرحله نهایی حرکت کردند: اجرا.
آنها دو تایید multisig را به دست آوردند که سپس برای مجوز دادن به تراکنشها استفاده شد. قابل توجه است که این تراکنشها پیش امضا شده بودند و برای بیش از یک هفته غیرفعال باقی ماندند و از شناسایی فوری اجتناب کردند.
در ۱ آوریل، مهاجمان عمل کردند. در کمتر از یک دقیقه، تقریباً ۲۷۰ میلیون دلار از گاوصندوقهای Drift تخلیه شد.
سرعت و دقت اجرا فضای کمی برای مداخله باقی گذاشت. تا زمانی که تراکنشها شناسایی شدند، وجوه قبلاً منتقل شده بودند.
Drift از آن زمان هشدار داده است که این حادثه نقاط ضعف اساسی در مدلهای امنیتی مبتنی بر multisig را فاش میکند. در حالی که سیستمهای multisig برای توزیع اعتماد طراحی شدهاند، زمانی که خود امضاکنندگان به خطر میافتند، آسیبپذیر باقی میمانند.
پیوندها به بازیگران دولتی کره شمالی آشکار میشود
تحقیقات درباره حمله، عملیات را به UNC4736، گروهی که با نام AppleJeus یا Citrine Sleet نیز شناخته میشود، مرتبط کرده است. این نهاد به طور گسترده با عملیات سایبری کره شمالی مرتبط است و به سوء استفادههای پرمخاطره قبلی از جمله حمله Radiant Capital متصل شده است.
جالب توجه است که افرادی که مستقیماً با مشارکتکنندگان Drift تعامل داشتند، به عنوان اتباع کره شمالی شناسایی نشدند. در عوض، به نظر میرسد آنها واسطههای شخص ثالث بودهاند که با هویتهای دقیقاً ساخته شده طراحی شده برای مقاومت در برابر بررسی دقیق مجهز شدهاند.
این رویکرد لایهبندی شده انتساب را پیچیدهتر میکند در حالی که اثربخشی عملیات را افزایش میدهد. با جداسازی بازیگران میدانی از نهاد هماهنگکننده، مهاجمان توانستند مشروعیت قابل قبولی را در طول نفوذ حفظ کنند.
یک زنگ بیداری برای مدلهای امنیتی دیفای
سوء استفاده Drift صنعت را مجبور میکند تا با یک واقعیت ناخوشایند روبرو شود. مدلهای امنیتی سنتی که بر حسابرسی کد، آسیبپذیریهای قرارداد هوشمند و حفاظتهای multisig متمرکز هستند، ممکن است برای دفاع در برابر دشمنانی که مایل به سرمایهگذاری زمان، پول و منابع انسانی هستند، کافی نباشند.
اگر مهاجمان بتوانند شش ماه صرف ایجاد روابط کنند، سرمایه را برای به دست آوردن اعتماد مستقر کنند و به صورت فیزیکی با تیمها ملاقات کنند، سطح حمله بسیار فراتر از کد گسترش مییابد.
این یک سوال حیاتی برای اکوسیستم دیفای مطرح میکند: چه نوع چارچوب امنیتی میتواند این سطح از نفوذ را شناسایی و از آن جلوگیری کند؟
در حال حاضر، این حادثه به عنوان یکی از پیچیدهترین سوء استفادههای مهندسی اجتماعی محور در تاریخ کریپتو قرار دارد. این بر نیاز به یک رویکرد جامعتر به امنیت تاکید میکند، رویکردی که رفتار انسانی، فرآیندهای عملیاتی و خطوط فزاینده محو شده بین تعاملات آنلاین و آفلاین را در نظر بگیرد.
همانطور که پروتکلها به رشد و جذب سرمایه بیشتر ادامه میدهند، خطرات فقط افزایش خواهد یافت. و همانطور که این مورد نشان میدهد، نسل بعدی حملات ممکن است از کیف پولهای ناشناس نباشد، بلکه از شرکای مورد اعتماد نشسته در طرف دیگر میز باشد.
افشاگری: این توصیه معاملاتی یا سرمایهگذاری نیست. همیشه قبل از خرید هر ارز دیجیتال یا سرمایهگذاری در هر سرویسی، تحقیق خود را انجام دهید.
ما را در توییتر @nulltxnews دنبال کنید تا با آخرین اخبار Crypto، NFT، AI، امنیت سایبری، محاسبات توزیع شده و متاورس بهروز بمانید!
منبع: https://nulltx.com/north-korea-linked-group-behind-270m-drift-hack-six-month-plot-revealed/
