پروتکل دریفت، یک صرافی غیرمتمرکز مبتنی بر سولانا، روز یکشنبه اعلام کرد حمله‌ای که حدود ۲۸۵ میلیون دلار از این پلتفرم تخلیه کرد، یک عملیات اطلاعاتی ساختاریافته شش‌ماهه توسط یک گروه تهدیدکننده وابسته به دولت کره شمالی بوده است.

این پروتکل در یک به‌روزرسانی دقیق از حادثه اعلام کرد که حمله‌کنندگان از هویت‌های حرفه‌ای ساختگی، جلسات حضوری در کنفرانس‌ها و ابزارهای توسعه‌دهنده مخرب برای به خطر انداختن مشارکت‌کنندگان پیش از اجرای تخلیه، استفاده کرده‌اند.

مایکل پرل، معاون استراتژی در شرکت امنیت بلاکچین سایورز (Cyvers)، به دکریپت گفت: "تیم‌های کریپتو اکنون با دشمنانی روبرو هستند که بیشتر شبیه واحدهای اطلاعاتی عمل می‌کنند تا هکرها، و اکثر سازمان‌ها از نظر ساختاری برای این سطح از تهدید آماده نیستند."

دریفت اعلام کرد که این گروه ابتدا در پاییز گذشته در یک کنفرانس بزرگ کریپتو با مشارکت‌کنندگان ارتباط برقرار کرد و خود را به عنوان یک شرکت معاملات کمی که به دنبال ادغام با پروتکل است، معرفی نمود.

در طول ماه‌ها، این گروه از طریق جلسات حضوری، هماهنگی تلگرام، راه‌اندازی یک خزانه اکوسیستم در دریفت و واریز ۱ میلیون دلار از سرمایه خود به خزانه، اعتماد ایجاد کرد؛ اما سپس ناپدید شد، در حالی که چت‌ها و بدافزارها هنگام وقوع بهره‌برداری «به طور کامل پاک شدند».

این DEX گفت که نفوذ ممکن است شامل یک مخزن کد مخرب، یک برنامه TestFlight جعلی و یک آسیب‌پذیری VSCode/Cursor باشد که امکان اجرای بی‌صدای کد را بدون تعامل کاربر فراهم می‌کرد.

دریفت با «اطمینان متوسط تا بالا» این حمله را به UNC4736 نسبت داد که با نام‌های AppleJeus یا Citrine Sleet نیز ردیابی می‌شود؛ این همان گروه وابسته به دولت کره شمالی است که شرکت امنیت سایبری ماندینت (Mandiant) آن را به هک Radiant Capital در سال ۲۰۲۴ مرتبط دانسته بود.

دریفت اعلام کرد افرادی که با مشارکت‌کنندگان ملاقات حضوری داشتند، اتباع کره شمالی نبودند و اشاره کرد که عوامل مرتبط با کره شمالی (DPRK) اغلب برای «تعاملات چهره به چهره» به واسطه‌های شخص ثالث تکیه می‌کنند.

به گفته واکنش‌دهندگان به حوادث SEAL 911، جریان‌های مالی آن‌چین (onchain) و شخصیت‌های همپوشان به عوامل مرتبط با کره شمالی اشاره دارند، اگرچه ماندینت هنوز انتساب را در انتظار بررسی‌های قانونی (forensics) تأیید نکرده است، این پلتفرم اشاره کرد.

محقق امنیتی @tayvano_، یکی از کارشناسانی که دریفت از او برای کمک در شناسایی عوامل مخرب قدردانی کرد، اشاره کرد که دامنه این آسیب‌پذیری بسیار فراتر از این حادثه است.

در یک توئیت، این کارشناس ده‌ها پروتکل دیفای (DeFi) را فهرست کرد و این ادعا را مطرح کرد که "کارمندان فناوری اطلاعات کره شمالی پروتکل‌هایی را که شما می‌شناسید و دوست دارید، از همان تابستان دیفای ساخته‌اند."

پیامدهای صنعتی

پرل اشاره کرد: "دریفت و بای‌بیت (Bybit) یک الگوی مشابه را برجسته می‌کنند — امضاکنندگان مستقیماً در سطح پروتکل به خطر نیفتاده‌اند، بلکه فریب داده شدند تا تراکنش‌های مخرب را تأیید کنند. مسئله اصلی تعداد امضاکنندگان نیست، بلکه عدم درک هدف تراکنش است."

او گفت که کیف پول‌های چند امضایی، با اینکه بهبود یافته‌ای نسبت به کنترل تک کلیدی هستند، اکنون حس کاذبی از امنیت ایجاد می‌کنند و «پارادوکسی» را معرفی می‌کنند که در آن مسئولیت مشترک، دقت و نظارت را در بین امضاکنندگان کاهش می‌دهد.

پرل گفت: "امنیت باید به سمت اعتبارسنجی پیش از تراکنش در سطح بلاکچین حرکت کند، جایی که تراکنش‌ها به طور مستقل شبیه‌سازی و قبل از اجرا تأیید می‌شوند." او افزود که هنگامی که حمله‌کنندگان آنچه کاربران می‌بینند را کنترل کنند، تنها دفاع موثر، تأیید عملی کاری است که یک تراکنش انجام می‌دهد، صرف نظر از رابط کاربری.

در مورد ابزارهای توسعه‌دهنده به عنوان یک سطح حمله، لاوید گفت که این فرض باید از پایه تغییر کند.

او به دکریپت گفت: "شما باید فرض کنید که نقطه پایانی به خطر افتاده است." وی به IDEها، مخازن کد، برنامه‌های موبایل و محیط‌های امضاکننده به عنوان نقاط ورودی رایج‌تر اشاره کرد.

این کارشناس گفت: "اگر این ابزارهای اساسی آسیب‌پذیر باشند، هر چیزی که به کاربر نشان داده می‌شود — از جمله تراکنش‌ها — می‌تواند دستکاری شود." وی اشاره کرد که این "به طور اساسی فرضیات امنیتی سنتی را می‌شکند" و تیم‌ها را قادر نمی‌سازد که به "رابط کاربری، دستگاه، یا حتی فرآیند امضا" اعتماد کنند.