Sinabi ng Drift Protocol na ang pag-atake noong Abril 1 sa platform nito ay sumunod sa buwan ng pagpaplano at social engineering.
Ikinonekta ng decentralized exchange ang kaso sa isang grupo na naglaan ng panahon sa pagbuo ng tiwala sa mga kontribyutor bago magpadala ng mga malisyosong tool at link. Tinatantya ng mga panlabas na pagtataya ang pagkalugi sa humigit-kumulang $280 milyon.
Sinabi ng Drift Protocol na ang paunang pagsusuri nito ay nakatuklas ng isang mahaba at organisadong kampanya laban sa platform. Sinabi ng team na ipinakita ng mga umaatake ang “suporta sa organisasyon, mapagkukunan, at buwan ng sadyang paghahanda” sa panahon ng operasyon.
Sinabi ng exchange na nagsimula ang pakikipag-ugnayan humigit-kumulang Oktubre 2025. Ayon sa Drift, ang mga taong nagpapakilalang miyembro ng isang quantitative trading firm ay lumapit sa mga kontribyutor sa isang malaking kumperensya ng crypto at sinabing gusto nilang makipag-integrate sa protocol.
Sinabi ng Drift na patuloy na nakikipagkita ang grupo sa mga kontribyutor sa ilang kaganapan sa industriya sa loob ng susunod na anim na buwan. Sinabi ng team na ang mga taong kasangkot ay may kasanayan sa teknikal, alam kung paano gumagana ang Drift, at tila may tunay na propesyonal na background.
Nakabuo ng tiwala ang patuloy na pakikipag-ugnayan na iyon. Sinabi ng Drift na ginamit kalaunan ng mga umaatake ang mga malisyosong link at tool na ibinahagi sa mga kontribyutor upang ikompromiso ang mga device, isagawa ang exploit, at tanggalin ang mga bakas ng kanilang aktibidad pagkatapos ng paglabag.
Bilang karagdagan, sinabi ng Drift na mayroon silang “katamtaman hanggang mataas na kumpiyansa” na ang parehong mga salarin sa likod ng hack ng Radiant Capital noong Oktubre 2024 ang nagsagawa ng exploit na ito. Ang mas maagang pag-atake na iyon ay nagdulot ng pagkalugi na humigit-kumulang $58 milyon at kinasangkutan din ng malware na ginamit upang makakuha ng access sa mga internal na sistema.
Sinabi ng Radiant Capital noong Disyembre 2024 na isang hacker na kaalyado ng North Korea ang nagpanggap bilang dating kontratista at nagpadala ng malware sa pamamagitan ng Telegram. Sinabi ng Radiant na ang “ZIP file na ito” ay kumalat kalaunan sa mga developer para sa feedback at nagbukas ng daan para sa paglusob.
Sinabi ng Drift na ang mga taong nakipagkita sa mga kontribyutor nang personal “ay hindi mga mamamayan ng North Korea.” Kasabay nito, sinabi ng team na ang mga threat actor na may koneksyon sa DPRK ay madalas gumagamit ng mga third-party intermediary para sa personal na pakikipag-ugnayan at pagbuo ng relasyon.
Sinabi ng exchange na nakikipagtulungan na ito ngayon sa mga tagapagpatupad ng batas at iba pang kalahok sa industriya ng crypto upang bumuo ng kumpletong tala ng pag-atake noong Abril 1.
Ang kaso ay nagdagdag din ng bagong babala para sa mga crypto firm, dahil ang mga kumperensya at personal na pagpupulong ay maaaring magbigay ng pagkakataon sa mga threat group na pag-aralan ang mga team, bumuo ng tiwala, at maghanda ng mga susunod na pag-atake.
