Протокол Drift заявив, що квітневу 1 атаку на своїй платформі було здійснено після кількох місяців планування та соціальної інженерії

Підсумок

• Drift заявив, що атакувальники витратили шість місяців на побудову довіри, перш ніж використати шкідливі інструменти для проникнення на пристрої дописувачів.
• Біржа пов’язала експлойт із середньо-високою впевненістю з акторами, які стояли за хаком Radiant Capital у жовтні 2024 року.
• Drift заявив, що повторні очні контакти на криптоівентах допомогли атакувальникам вивчити дописувачів і отримати доступ.

Децентралізована біржа пов’язала цю справу з групою, яка витратила час на побудову довіри з дописувачами, перш ніж надсилати шкідливі інструменти та посилання. Зовнішні оцінки називають втрати приблизно в $280 мільйонів.

Протокол Drift заявив, що під час раннього огляду виявив тривалу й організовану кампанію проти платформи. Команда заявила, що під час операції атакувальники демонстрували «організаційну підтримку, ресурси та місяці навмисної підготовки».

Біржа заявила, що контакт розпочався приблизно в жовтні 2025 року. За даними Drift, люди, які видавали себе за членів кількісної торгової фірми, підійшли до дописувачів на великій криптоконференції та заявили, що хочуть інтегруватися з протоколом.

Очні зустрічі вибудовували довіру з часом

Drift заявив, що група протягом наступних шести місяців продовжувала зустрічатися з дописувачами на кількох галузевих заходах. Команда заявила, що залучені люди були технічно підготовлені, знали, як працює Drift, і виглядали так, ніби мають реальний професійний бекграунд.

Такий сталий контакт допоміг групі здобути довіру. Drift заявив, що згодом атакувальники використали шкідливі посилання та інструменти, якими ділилися з дописувачами, щоб скомпрометувати пристрої, здійснити експлойт і прибрати сліди своєї діяльності після порушення безпеки.

Крім того, Drift заявив, що він має «середньо-високий рівень впевненості» в тому, що ті самі актори, які стояли за хаком Radiant Capital у жовтні 2024 року, здійснили і цей експлойт. Той попередній напад спричинив втрати приблизно на $58 мільйонів і також включав зловмисне ПЗ, яке використовували, щоб отримати доступ до внутрішніх систем.

Radiant Capital заявила в грудні 2024 року, що пов’язаний із Північною Кореєю хакер видав себе за колишнього підрядника та надіслав зловмисне ПЗ через Telegram. Radiant заявив, що «цей ZIP-файл» згодом поширився серед розробників для зворотного зв’язку та відкрив шлях до проникнення.

Drift попереджає: конференції можуть стати цілями атак

Drift заявив, що люди, які зустрічали дописувачів особисто, «не були громадянами Північної Кореї». Водночас команда заявила, що загрози, пов’язані з ДПРК, часто використовують сторонніх посередників для очних контактів і побудови стосунків.

Біржа заявила, що зараз працює з правоохоронними органами та іншими учасниками криптоіндустрії, щоб скласти повний запис про атаку 1 квітня

Ця справа також додала свіже попередження для криптофірм, адже конференції та очні зустрічі можуть надати групам загроз можливість вивчити команди, здобути довіру та підготувати подальші атаки.