Криптоплатформата Drift Protocol разкри, че хакът за над 280 милиона долара не е бил спонтанен пробив, а резултат от дългосрочна, внимателно планирана операция, включваща реално присъствие вътре в екосистемата ѝ.

Инцидентът започва на 1 април, когато платформата, базирана на Solana, засича подозрителна активност. Малко по-късно става ясно, че атакуващите са успели да компрометират административните права на Security Council, което им позволява бързо да източат средства.

Според анализи на Elliptic и TRM Labs, операцията е извършена от севернокорейски хакери, които са източили активите само за около 12 минути.

Фалшива идентичност и физически контакт

Разследването показва тревожна тенденция – нападателите не са разчитали само на технически уязвимости, а са използвали комбинация от социално инженерство и физическо присъствие.

В продължение на поне шест месеца те са се представяли за квантова трейдинг фирма и активно са търсили контакт с ключови участници в Drift:

• Срещи на живо по време на криптоконференции в различни държави
• Продължителна комуникация чрез Telegram
• Обсъждане на стратегии и интеграции, изглеждащи напълно легитимни

Този подход показва високо ниво на подготовка и разбиране на вътрешните процеси на платформата.

Как е осъществен пробивът

Въпреки че точният вектор на атаката не е окончателно потвърден, Drift идентифицира два вероятни сценария за компрометиране на свои сътрудници:

• Злонамерено кодово хранилище, изпратено към разработчик, вероятно използващо уязвимост във VSCode/Cursor за тихо изпълнение на код
• Фалшиво TestFlight приложение, представено като крипто портфейл

И в двата случая става дума за таргетирана атака срещу конкретни личности, а не масова експлоатация.

Следите водят към Lazarus

Drift посочва с висока степен на увереност, че атаката е извършена от групата UNC4736, известна още като AppleJeus и Labyrinth Chollima.

Компанията Mandiant свързва този АТР с по-широката севернокорейска хакерска мрежа Lazarus Group.

Тази група стои зад редица значими атаки, включително:

• Supply-chain атаката срещу 3CX (2023)
• Кражбата на $50 млн. от Radiant (2024)
• Експлоатации на zero-day уязвимости в браузъра Chrome

Интересен детайл е, че част от хората, осъществили физически контакт с екипа на Drift, не са били корейци, което подсказва използването на посредници.

Реакция и ограничаване на щетите

След атаката Drift Protocol предприема спешни мерки:

• Всички функции на платформата са временно замразени
• Компрометираните портфейли са премахнати от multisig механизма
• Адресите на атакуващите са маркирани в борси и bridge оператори

Целта е да се затрудни прехвърлянето и изпирането на откраднатите средства.

Ключовият извод

Този инцидент подчертава нова реалност в киберсигурността:

Най-опасните атаки вече комбинират техническа експертиза с дълбоко социално проникване.

Случаят с Drift Protocol показва, че дори добре защитени платформи могат да бъдат компрометирани, когато атакуващите успеят да спечелят доверие отвътре.