Ceea ce părea inițial a fi un exploit brusc a fost acum dezvăluit ca fiind o operațiune pe termen lung, extrem de coordonată. Drift Protocol a dezvăluit că hackerul de 270 milioane de dolari a fost rezultatul unei campanii de infiltrare de șase luni, presupus legată de actori asociați cu statul nord-coreean.
În loc să exploateze o vulnerabilitate simplă, atacatorii au construit încrederea lent, pozând ca o firmă legitimă de tranzacționare cantitativă și integrându-se în ecosistem. Abordarea lor a depășit înșelăciunea digitală. Ei au interacționat direct cu contributorii, au participat la conferințe cripto și au stabilit relații care păreau credibile la fiecare nivel.
Acesta nu a fost un atac rapid de tip smash-and-grab. A fost calculat, răbdător și conceput pentru a ocoli nu doar apărările tehnice, ci și încrederea umană.
Primul Contact Începe La Conferințele Cripto
Operațiunea a început, se pare, în toamna anului 2025, când atacatorii au făcut primul contact la o conferință cripto majoră. La acel moment, nu existau semnale de alarmă imediate. Grupul s-a prezentat ca profesioniști competenți din punct de vedere tehnic, cu antecedente verificabile.
Ei vorbeau fluent limbajul DeFi, demonstrând o înțelegere profundă a infrastructurii Drift și a mecanismelor de tranzacționare. Acest nivel de expertiză i-a ajutat să se integreze perfect cu contributorii și partenerii legitimi.
La scurt timp după aceea, comunicarea s-a mutat pe Telegram, unde discuțiile au continuat timp de câteva luni. Aceste interacțiuni nu au fost grăbite sau suspecte. În schimb, ele au reflectat ritmul unei colaborări reale, completă cu discuții tehnice, aport strategic și angajament continuu.
Prin menținerea consecvenței și credibilității, atacatorii au construit treptat încrederea în cadrul comunității.
Construirea Încrederii Prin Capital Și Colaborare
Până în ianuarie 2026, grupul și-a dus implicarea și mai departe. Ei au reușit să integreze un Ecosystem Vault și au început să participe la sesiuni de lucru alături de contributorii Drift.
Crucial, ei au și angajat capital real, depunând peste 1 milion de dolari din fondurile lor proprii în protocol. Această mișcare le-a întărit legitimitatea, semnalând că aveau un interes direct în joc.
Pe parcursul lunilor februarie și martie, membrii ecosistemului Drift s-au întâlnit cu aceste persoane personal în mai multe țări. Aceste interacțiuni față în față au adăugat un alt strat de încredere, făcând și mai puțin probabil ca intențiile lor să fie puse sub semnul întrebării.
Până în momentul în care atacul a fost executat, relația dintre atacatori și comunitate fusese stabilită timp de aproape șase luni. A fost un nivel de infiltrare rar întâlnit în exploatările DeFi.
Execuția Atacului A Exploatat Puncte De Intrare Sofisticate
Când compromisul a avut loc în final, acesta a venit prin două vectori extrem de direcționați.
Primul a implicat o aplicație TestFlight malițioasă, prezentată ca un produs wallet legitim. Aceasta le-a permis atacatorilor să obțină acces la dispozitivele contribuitorilor sub pretextul testării de noi instrumente.
Al doilea vector a exploatat o vulnerabilitate cunoscută în mediile de dezvoltare precum VSCode și Cursor. Această deficiență, semnalată de comunitatea de securitate cu luni în urmă, a permis execuția de cod arbitrar pur și simplu prin deschiderea unui fișier.
Împreună, aceste metode au permis atacatorilor să compromită dispozitive cheie fără a declanșa suspiciuni imediate. Odată înăuntru, ei au putut accesa fluxuri de lucru sensibile și mecanisme de aprobare.
Această etapă a operațiunii evidențiază o schimbare critică în strategiile de atac. În loc să vizeze direct contractele inteligente, atacatorii se concentrează din ce în ce mai mult pe straturile umane și de instrumente care le înconjoară.
Slăbiciunile Multisig Expuse În Drenarea Finală
Cu accesul securizat, atacatorii au trecut la faza finală: execuția.
Ei au obținut două aprobări multisig, care au fost apoi folosite pentru a autoriza tranzacții. Remarcabil, aceste tranzacții au fost pre-semnate și lăsate inactive timp de peste o săptămână, evitând detectarea imediată.
Pe 1 aprilie, atacatorii au acționat. În mai puțin de un minut, aproximativ 270 de milioane de dolari au fost drenați din seifurile Drift.
Viteza și precizia execuției au lăsat puțin loc pentru intervenție. În momentul în care tranzacțiile au fost recunoscute, fondurile fuseseră deja mutate.
Drift a avertizat de atunci că acest incident expune slăbiciuni fundamentale în modelele de securitate bazate pe multisig. Deși sistemele multisig sunt concepute pentru a distribui încrederea, ele rămân vulnerabile atunci când semnatarii înșiși sunt compromisi.
Apare Legături Cu Actori De Stat Nord-Coreeni
Investigațiile asupra atacului au legat operațiunea de UNC4736, un grup cunoscut și sub numele de AppleJeus sau Citrine Sleet. Această entitate este larg asociată cu operațiunile cibernetice nord-coreene și a fost conectată la exploatări anterioare de profil înalt, inclusiv atacul Radiant Capital.
Interesant, persoanele care au interacționat direct cu contributorii Drift nu au fost identificate ca fiind cetățeni nord-coreeni. În schimb, ei par să fi fost intermediari terți, echipați cu identități atent construite, concepute pentru a rezista verificării.
Această abordare stratificată face atribuirea mai complexă, sporind în același timp eficacitatea operațiunii. Separând actorii de pe teren de entitatea coordonatoare, atacatorii au reușit să mențină o legitimitate plauzibilă pe parcursul infiltrării.
Un Semnal De Alarmă Pentru Modelele De Securitate DeFi
Exploatarea Drift forțează industria să se confrunte cu o realitate incomodă. Modelele de securitate tradiționale, concentrate pe audituri de cod, vulnerabilități ale contractelor inteligente și protecții multisig, ar putea să nu fie suficiente pentru a se apăra împotriva adversarilor dispuși să investească timp, bani și resurse umane.
Dacă atacatorii pot petrece șase luni construind relații, pot implementa capital pentru a câștiga încredere și se pot întâlni fizic cu echipele, suprafața de atac se extinde mult dincolo de cod.
Aceasta ridică o întrebare critică pentru ecosistemul DeFi: ce fel de cadru de securitate poate detecta și preveni acest nivel de infiltrare?
Deocamdată, incidentul rămâne una dintre cele mai sofisticate exploatări conduse de inginerie socială din istoria cripto. Acesta subliniază necesitatea unei abordări mai holistice a securității, una care să țină cont de comportamentul uman, procesele operaționale și liniile din ce în ce mai estompate între interacțiunile online și offline.
Pe măsură ce protocoalele continuă să crească și să atragă mai mult capital, mizele vor crește doar. Și, așa cum arată acest caz, următoarea generație de atacuri ar putea să nu provină din portofele anonime, ci de la parteneri de încredere care stau de cealaltă parte a mesei.
Disclaimer: Aceasta nu este un sfat de tranzacționare sau investiție. Faceți întotdeauna propriile cercetări înainte de a cumpăra orice criptomonedă sau de a investi în orice servicii.
Urmăriți-ne pe Twitter @nulltxnews pentru a rămâne la curent cu cele mai recente știri despre Cripto, NFT, AI, Securitate Cibernetică, Computere Distribuite și Metaverse!
Sursă: https://nulltx.com/north-korea-linked-group-behind-270m-drift-hack-six-month-plot-revealed/
