Giao thức Drift cho biết cuộc tấn công ngày 1 tháng 4 vào nền tảng của mình đã diễn ra sau nhiều tháng lên kế hoạch và lừa đảo xã hội

Tóm tắt

• Drift cho biết các kẻ tấn công đã dành sáu tháng xây dựng lòng tin trước khi dùng các công cụ độc hại để xâm nhập các thiết bị của cộng tác viên.
• Sàn giao dịch liên hệ lỗ hổng này với mức độ tin cậy trung bình-cao tới các tác nhân đứng sau vụ hack tháng 10 năm 2024 của Radiant Capital.
• Drift cho biết việc tiếp xúc trực tiếp lặp lại tại các sự kiện crypto đã giúp kẻ tấn công tìm hiểu cộng tác viên và giành được quyền truy cập.

Sàn giao dịch phi tập trung liên hệ vụ việc với một nhóm đã dành thời gian xây dựng lòng tin với cộng tác viên trước khi gửi các công cụ và liên kết độc hại. Các ước tính từ bên ngoài cho rằng mức lỗ khoảng 280 triệu USD.

Giao thức Drift cho biết quá trình rà soát ban đầu của họ phát hiện một chiến dịch dài hơi và có tổ chức nhằm vào nền tảng. Nhóm cho biết trong hoạt động này, kẻ tấn công đã thể hiện “hỗ trợ mang tính tổ chức, nguồn lực và nhiều tháng chuẩn bị có chủ đích”.

Sàn giao dịch cho biết việc tiếp xúc bắt đầu vào khoảng tháng 10 năm 2025. Theo Drift, những người giả làm thành viên của một công ty giao dịch định lượng đã tiếp cận các cộng tác viên tại một hội nghị crypto lớn và tuyên bố rằng họ muốn tích hợp với giao thức.

Các cuộc gặp trực tiếp giúp xây dựng lòng tin theo thời gian

Drift cho biết nhóm này tiếp tục gặp gỡ các cộng tác viên tại một số sự kiện trong ngành trong sáu tháng tiếp theo. Nhóm cho biết những người liên quan có tay nghề kỹ thuật, biết cách Drift vận hành và dường như có nền tảng nghề nghiệp thực sự.

Sự tiếp xúc đều đặn đó đã giúp nhóm giành được lòng tin. Drift cho biết sau đó kẻ tấn công đã sử dụng các liên kết và công cụ độc hại được chia sẻ với cộng tác viên để xâm phạm thiết bị, thực hiện cuộc khai thác lỗ hổng và loại bỏ dấu vết hoạt động của họ sau vụ xâm nhập.

Ngoài ra, Drift cho biết họ có “mức độ tin cậy trung bình-cao” rằng các tác nhân tương tự đứng sau vụ hack Radiant Capital hồi tháng 10 năm 2024 đã thực hiện cuộc khai thác này. Vụ tấn công trước đó đã gây ra tổn thất khoảng 58 triệu USD và cũng liên quan đến mã độc được dùng để giành quyền truy cập vào các hệ thống nội bộ.

Radiant Capital cho biết vào tháng 12 năm 2024 rằng một hacker có liên kết với Triều Tiên đã giả làm một cựu nhà thầu và gửi mã độc thông qua Telegram. Radiant cho biết “tệp ZIP này” sau đó đã lan truyền giữa các nhà phát triển để lấy phản hồi và mở đường cho cuộc xâm nhập.

Drift cảnh báo các hội nghị có thể trở thành mục tiêu tấn công

Drift cho biết những người đã gặp cộng tác viên trực tiếp “không phải là công dân Bắc Hàn”. Đồng thời, nhóm cho biết các tác nhân đe dọa có liên kết với DPRK thường sử dụng các trung gian bên thứ ba cho các cuộc tiếp xúc và xây dựng quan hệ trực tiếp.

Sàn giao dịch cho biết hiện họ đang làm việc với cơ quan thực thi pháp luật và các bên tham gia khác trong ngành crypto để xây dựng một hồ sơ đầy đủ về cuộc tấn công ngày 1 tháng 4

Vụ việc cũng đã đưa ra một cảnh báo mới cho các công ty crypto, vì các hội nghị và các cuộc gặp trực tiếp có thể tạo cơ hội cho các nhóm đe dọa nghiên cứu đội ngũ, xây dựng lòng tin và chuẩn bị cho các cuộc tấn công sau đó.