پروتکل دریفت روز شنبه مفصلترین گزارش خود را از حمله سایبری اول آوریل که حدود ۲۸۰ میلیون دلار از صرافی دائمی (perpetuals exchange) مبتنی بر سولانا را تخلیه کرد، منتشر کرد و آن را یک "عملیات اطلاعاتی ساختاریافته" توصیف کرد که آمادهسازی آن تقریباً شش ماه به طول انجامید.
بر اساس این بهروزرسانی، تماس اولیه در حدود پاییز ۲۰۲۵ برقرار شد، زمانی که افرادی که خود را به عنوان یک شرکت تجاری کمی (quant trading firm) معرفی میکردند، در یک کنفرانس بزرگ رمزارز به مشارکتکنندگان دریفت نزدیک شدند و به ادغام در پروتکل ابراز علاقه کردند. یک گروه تلگرامی در همان جلسه اول راهاندازی شد و همین افراد در طول ماههای بعدی به ملاقات حضوری با مشارکتکنندگان دریفت در رویدادهای صنعتی در کشورهای مختلف ادامه دادند.
بین دسامبر ۲۰۲۵ و ژانویه ۲۰۲۶، این گروه یک خزانه اکوسیستم (Ecosystem Vault) را در دریفت راهاندازی کردند، فرم استراتژی استاندارد را پر کردند، در جلسات کاری متعدد با مشارکتکنندگان شرکت کردند و بیش از ۱ میلیون دلار از سرمایه خود را واریز کردند. دریفت اظهار داشت که این رفتار با نحوه ادغام معمول شرکتهای تجاری مشروع با پروتکل سازگار است.
بررسی پزشکی قانونی دستگاههای آسیبدیده و تاریخچه ارتباطات پس از این سوءاستفاده به این رابطه به عنوان مسیر احتمالی نفوذ اشاره کرد. دریفت گفت که چتهای تلگرامی گروه و نرمافزارهای مخرب مرتبط در لحظات شروع حمله پاک شدهاند.
ارزیابی اولیه دریفت دو روش احتمالی نفوذ را شناسایی میکند. یک مشارکتکننده ممکن است پس از شبیهسازی یک مخزن کد (code repository) که گروه با بهانه استقرار یک فرانتاند (frontend) برای خزانه خود به اشتراک گذاشته بود، آلوده شده باشد. مشارکتکننده دوم ترغیب شد تا یک نسخه بتا از یک برنامه را از طریق Apple TestFlight نصب کند که گروه آن را محصول کیف پول خود توصیف کرده بود.
برای مسیر مخزن، دریفت به آسیبپذیری VS Code و Cursor اشاره کرد که محققان امنیتی بین دسامبر ۲۰۲۵ تا فوریه ۲۰۲۶ در مورد آن به صورت عمومی هشدار داده بودند، که در آن صرفاً باز کردن یک فایل، پوشه یا مخزن در ویرایشگر میتوانست کد دلخواه را بدون هیچگونه درخواست کاربر به صورت پنهانی اجرا کند.
خود این حمله، همانطور که قبلاً The Block گزارش داده بود، شامل نقص قرارداد هوشمند (smart contract bug) نبود. دریفت آن را یک "حمله جدید شامل نانسهای ماندگار (durable nonces)" توصیف کرده است، که یک اصل مشروع در سولانا است که امکان امضای قبلی تراکنشها و اجرای بعدی آنها را فراهم میکند. مهاجم تأییدیههای چندامضایی (multisig approvals) را از قبل، احتمالاً از طریق مهندسی اجتماعی یا تحریف تراکنش، به دست آورده بود، سپس از مجوزهای از پیش امضا شده برای به دست گرفتن قدرتهای مدیریتی شورای امنیت (Security Council) و تخلیه پروتکل در عرض چند دقیقه استفاده کرد.
دریفت اعلام کرد که با پشتیبانی تیم SEAL 911، با "اطمینان متوسط تا بالا" ارزیابی میکند که این عملیات توسط همان بازیگران تحت حمایت دولت کره شمالی انجام شده است که مسئول هک ۵۰ میلیون دلاری Radiant Capital در اکتبر ۲۰۲۴ بودند، که Mandiant آن را به UNC4736، همچنین معروف به AppleJeus یا Citrine Sleet، یک گروه هکری مرتبط با اداره کل شناسایی این کشور، نسبت داده بود.
به گفته دریفت، این ارتباط هم بر اساس همپوشانیهای درونزنجیرهای (onchain) و هم عملیاتی است. جریانهای مالی استفاده شده برای سازماندهی و آزمایش عملیات دریفت به مهاجمان Radiant بازمیگردد، و شخصیتهای بهکارگرفته شده در این کمپین دارای همپوشانیهای قابل شناسایی با فعالیتهای شناخته شده مرتبط با کره شمالی (DPRK) هستند، دریفت گفت.
قابل ذکر است، دریفت تأکید کرد که افرادی که به صورت حضوری در کنفرانسها شرکت کرده بودند، شهروندان کره شمالی نبودند. بازیگران تهدید کره شمالی که در این سطح فعالیت میکنند، شناخته شدهاند که واسطههای شخص ثالث را برای انجام کارهای مربوط به ایجاد روابط به کار میگیرند، پروتکل گفت، و پروفایلهای استفاده شده در این عملیات دارای سوابق شغلی کامل، مدارک عمومی و شبکههای حرفهای بودند که برای مقاومت در برابر بررسی دقیق طرف مقابل طراحی شده بودند.
Mandiant، که دریفت برای هدایت تحقیقات پزشکی قانونی آن را به کار گرفته است، رسماً حمله دریفت را نسبت نداده است. این تعیین هویت در انتظار تکمیل بررسیهای پزشکی قانونی دستگاه است.
دریفت اعلام کرد که تمامی عملکردهای باقیمانده پروتکل مسدود شدهاند، کیف پولهای به خطر افتاده از چندامضایی حذف شدهاند و آدرسهای مهاجم با صرافیها و اپراتورهای پل (bridge operators) علامتگذاری شدهاند. کارآگاه درونزنجیرهای ZachXBT به طور جداگانه از صادرکننده استیبلکوین سیرکل (Circle) به دلیل آنچه او واکنش کند خوانده است، انتقاد کرد و ادعا کرد مهاجم تقریباً ۲۳۲ میلیون USDC را از سولانا به اتریوم از طریق CCTP در طول شش ساعت بدون مسدود شدن هیچ وجهی منتقل کرده است.
حمله دریفت بزرگترین هک DeFi سال ۲۰۲۶ تاکنون است و پس از حمله به پل ورمهول (Wormhole bridge) با ۳۲۵ میلیون دلار در سال ۲۰۲۲، در رتبه دوم بزرگترین حوادث امنیتی در تاریخ سولانا قرار دارد.
دریفت از محققان مستقل و اعضای SEAL 911 به نامهای Taylor Monahan، tanuki42_، pcaversaccio و Nick Bax برای کارشان در شناسایی بازیگران تشکر کرد و از هر تیمی که معتقد است ممکن است توسط همین گروه هدف قرار گرفته باشد، خواست مستقیماً با SEAL 911 تماس بگیرند.
"واقعاً – این پیچیدهترین و هدفمندترین حملهای است که فکر میکنم توسط کره شمالی در فضای رمزارز دیدهام،" tanuki42_ در X نوشت، علاوه بر این هشدار داد که پروتکلهای دیگر نیز ممکن است هدف قرار گرفته باشند. "استخدام چندین واسطه و سپس وادار کردن آنها به هدف قرار دادن افراد خاص در زندگی واقعی در رویدادهای بزرگ رمزارز یک تاکتیک وحشیانه است."
سلب مسئولیت: The Block یک رسانه مستقل است که اخبار، تحقیقات و دادهها را ارائه میدهد. از نوامبر ۲۰۲۳، Foresight Ventures سهامدار عمده The Block است. Foresight Ventures در سایر شرکتهای فضای رمزارز سرمایهگذاری میکند. صرافی رمزارز Bitget یک LP اصلی برای Foresight Ventures است. The Block به فعالیت مستقل خود برای ارائه اطلاعات عینی، تأثیرگذار و به موقع در مورد صنعت رمزارز ادامه میدهد. افشای اطلاعات مالی فعلی ما در اینجا آمده است.
© ۲۰۲۶ The Block. تمامی حقوق محفوظ است. این مقاله فقط برای مقاصد اطلاعرسانی ارائه شده است. ارائه یا قصد استفاده از آن به عنوان مشاوره حقوقی، مالیاتی، سرمایهگذاری، مالی یا سایر مشاورهها وجود ندارد.
