Drift Protocol avaldas üksikasjad oma 1. aprillil 2026 toimunud turvarikkumuse kohta, mis oli koordineeritud rünnak, mille ettevalmistus kestis kuus kuud. Haldusvaba vahetusplatvorm teatas, et rünnak järgnes isiklikkult toimunud kohtumistele, tehnilisele suhtlemisele ja kurjade tarkvaraprogrammide levitamisele. Juhtum, mis toimus 1. aprillil, põhjustas kaasaegsete osalejate kompromitteerumise ja hinnanguliselt ligi 280 miljoni dollari kaotused.
Drift Protocol jälgis pikaajalist sotsiaalset inseneritööd
Ühes X-i postituses teatas Drift Protocol, et rünnak algas umbes oktoobris 2025 suures krüptoraha konverentsil. Drift Protocoli andmetel lähenesid osalejatele valesti esitlenud kvantitatiivse kauplemisfirma esindajad, et saada integratsioon.
Kuid suhtlus ei piirdunud sellega. Grupp jätkas osalejatega suhtlemist mitme rahvusvahelise tööstuskonverentsi kaudu kuus kuud. Nad esitasid verifitseeritud ametlikud taustad ja demonstreerisid tehnilist tarkust korduvatel isiklike kohtumistel.
Lisaks moodustasid nad esialgse kontakti järel Telegrami grupi. Aeglaselt arutlesid nad osalejatega kauplemisstrateegiate ja võimalike varukonteinerite (vault) integratsioonide üle. Need arutelud järgisid standardset sisenemismustrit, mida kauplemisfirmad Drift Protocoliga suhtlemisel kasutavad.
Detsembrist 2025 kuni jaanuarini 2026 integreeris grupp ekosüsteemi varukonteineri. Nad esitasid strateegia üksikasjad ja deposiitidesse protokolli üle miljoni dollari. Samal ajal viisid nad läbi töötunde ja esitasid detailseid toote küsimusi.
Kompromitteerumine seotud jagatud tööriistadega ja seadmete juurdepääsuga
Kui integratsiooni arutelud edenesid veebruaris ja märtsis 2026, süvenes usaldus. Osalejad kohtusid grupiga uuesti tööstusüritustel, tugevdades olemasolevaid suhteid. Drift Protocol tuvastas hiljem need kohtumised aga tõenäolise sisserünnaku vektorina.
Drift Protocoli andmetel jagasid ründajad koostöö käigus kurjade reposiitoriumide ja rakenduste linki. See on täielik vastand ZachXBT ringhüüdele Circle’ile 280 miljoni dollari turvarikkumuse viivituse kohta. Üks osaleja kloneeris aruande kohaselt koodirepositoriumi, mida esitati kui frontend-deployments tööriist.
Allikas: Arkham
Teine osaleja laadis alla TestFlighti rakenduse, mida kirjeldati kui rahakoti toodet. Need tegevused võisid potentsiaalselt põhjustada seadmete kompromitteerumise. Reposiitoriumi vektori puhul viitas Drift Protocol teadaolevale nõrgale kohale VSCode’is ja Cursoris.
Detsembrist 2025 kuni veebruarini 2026 võis failide avamine põhjustada vaikset koodi täitmist ilma hoiatusteta. Turvarikkumuse järel viis Drift Protocol läbi forensilisi ülevaatusi mõjutatud seadmete ja kontode üle. Märgatavalt kustutati ründajate suhtluskanalid ja kurjad tarkvarad kohe pärast täitmist.
Attributsioon ja käimasolev uurimistöö
Drift Protocol teatas, et rünnaku tuvastamise järel peatati kõik protokolli funktsioonid. Lisaks eemaldati kompromitteeritud rahakotid protokolli multisigi struktuurist ja märgiti ründajate rahakotid börsidel ja sildadel. Ettevõte kaasas uurimisse Mandianti. Samal ajal andis SEALs 911 analüüsi, mis viitas teadaolevale ähvardusgrupile.
Keskmine–kõrge kindlus astmel seostas haldusvaba vahetusplatvorm rünnaku oktoobris 2024 toimunud Radiant Capitali rünnaku taga tegutsevate aktoritega. Selle operatsiooni oli varem omistatud UNC4736-le, mida tuntakse ka AppleJeus’ena või Citrine Sleet’ena.
Drift Protocol täpsustas, et isiklikult toimunud kohtumistel osalenud isikud ei olnud Põhja-Korea kodanikud. Selle asemel märkis ettevõte, et sellised operatsioonid kasutavad sageli kolmandate osapoolte vahendajaid isiklike kohtumiste korraldamiseks.
ZachXBTi sõnul peegeldab tegevus tuntud Põhja-Korea seotud küberoperatsioone, mida tihti liigitatakse Lazarus’i üldnimetuse alla. Ta selgitas, et Lazarus viitab hulka hakerigruppe, samas kui Põhja-Korea (DPRK) näitab neile operatsioonide taga riiklikku kuuluvust. Ta märkis, et sellised grupid kasutavad kihtuva identiteedi, vahendajaid ja pikaajalist juurdepääsu loomist enne rünnaku elluviimist.
Allikas: ZachXBT
ZachXBT lisas, et turvarikkumusega seotud ahela (on-chain) rahavoolud näitavad ülekattumist varasemate Põhja-Korea seotud juhtumitega seotud rahakottidega, sealhulgas Radiant Capitaliga. Ta rõhutas ka operatsioonilisi sarnasusi, sealhulgas stseenitud suhtlemist, kurjade tarkvaraprogrammide levitamist usaldusväärsete kanalite kaudu ning kiiret puhastust pärast täitmist.
Drift Protocol rõhutas, et kõik multi-sig allkirjastajad kasutasid juhtumis ajal külmrahakotte. Ettevõte jätkab koostööd õiguskaitseasutustega ja forensiliste partneritega uurimise lõpetamiseks.
Allikas: https://coingape.com/drift-hack-update-protocol-shares-latest-security-update-on-april-1-exploit/
