Платформа Drift Protocol заявила, что атака 1 апреля на ее платформу стала результатом месяцев планирования и социальной инженерии

Краткое содержание

• Drift заявила, что злоумышленники потратили шесть месяцев на создание доверия, прежде чем использовать вредоносные инструменты для взлома устройств авторов.
• Криптобиржа связала эксплойт с субъектами, стоящими за взломом Radiant Capital в октябре 2024 года, с уровнем уверенности от средней до высокой.
• Drift заявила, что повторяющиеся личные контакты на криптовалютных мероприятиях помогли злоумышленникам изучить авторов и получить доступ.

Децентрализованная биржа связала этот случай с группой, которая сначала потратила время на создание доверия у авторов, а затем направила вредоносные инструменты и ссылки. Внешние оценки оценивают ущерб примерно в $280 миллионов.

Drift Protocol заявила, что ее первоначальная проверка выявила длинную и организованную кампанию против платформы. Команда заявила, что во время операции злоумышленники демонстрировали «организационную поддержку, ресурсы и месяцы целенаправленной подготовки».

Биржа сообщила, что контакт начался примерно в октябре 2025 года. По данным Drift, люди, выдававшие себя за участников количественной торговой фирмы, обратились к авторам на крупной криптовалютной конференции и заявили, что хотят интегрироваться с протоколом.

Личные встречи позволили нарастить доверие со временем

Drift заявила, что группа продолжала встречаться с авторами на нескольких отраслевых мероприятиях в течение следующих шести месяцев. Команда заявила, что люди, участвовавшие в этом, были технически подкованы, понимали, как работает Drift, и выглядели так, будто у них есть реальная профессиональная биография.

Этот устойчивый контакт помог группе завоевать доверие. Drift заявила, что позже злоумышленники использовали вредоносные ссылки и инструменты, которыми делились с авторами, чтобы скомпрометировать устройства, провести эксплойт и удалить следы своей активности после взлома.

Кроме того, Drift заявила, что у нее есть «уверенность от средней до высокой» в том, что те же акторы, стоящие за взломом Radiant Capital в октябре 2024 года, осуществили и этот эксплойт. Ранее эта атака привела к потерям примерно в $58 миллионов и также включала вредоносное ПО, использованное для получения доступа к внутренним системам.

Radiant Capital заявила в декабре 2024 года, что связанный с Северной Кореей хакер выдал себя за бывшего подрядчика и отправил вредоносное ПО через Telegram. Radiant said «этот ZIP-файл» позже распространился среди разработчиков для обратной связи и открыл путь к проникновению.

Drift предупреждает: конференции могут стать мишенью атак

Drift заявила, что люди, встречавшиеся с авторами лично, «не были гражданами Северной Кореи». При этом команда заявила, что связанные с DPRK акторы угроз часто используют посредников третьих сторон для очных контактов и построения отношений.

Биржа заявила, что сейчас работает с правоохранительными органами и другими участниками криптоиндустрии, чтобы составить полный отчет об атаке 1 апреля

Дело также добавило новое предупреждение для криптовалютных компаний: конференции и личные встречи могут дать группам угроз шанс изучить команды, завоевать доверие и подготовить последующие атаки.