Drift Protocol, zdecentralizowana giełda kryptowalut (DEX), twierdzi, że niedawny exploit przeciwko platformie był sześciomiesięcznym, wysoce skoordynowanym atakiem.
„Wstępne dochodzenie pokazuje, że Drift doświadczył ustrukturyzowanej operacji wywiadowczej wymagającej wsparcia organizacyjnego, znacznych zasobów i miesięcy celowych przygotowań” – Drift napisał w poście na X w sobotę.
Zdecentralizowana giełda została wykorzystana w środę, a zewnętrzne szacunki określają straty na około 280 milionów dolarów.
Według Drift, plan ataku można prześledzić do około października 2025 roku, kiedy to złośliwi aktorzy, podający się za firmę handlu ilościowego, po raz pierwszy skontaktowali się ze współtwórcami Drift na „dużej konferencji kryptowalutowej”, twierdząc, że są zainteresowani integracją z protokołem.
Grupa kontynuowała osobiste angażowanie współtwórców na wielu wydarzeniach branżowych przez następne sześć miesięcy. „Obecnie uważa się, że było to ukierunkowane podejście, w którym osoby z tej grupy celowo wyszukiwały i angażowały konkretnych współtwórców Drift” – powiedział Drift.
„Byli biegli technicznie, mieli weryfikowalne doświadczenie zawodowe i byli zaznajomieni ze sposobem działania Drift” – powiedział Drift.
Po zdobyciu zaufania i dostępu do Drift Protocol przez sześć miesięcy, wykorzystali udostępnione złośliwe linki i narzędzia do skompromitowania urządzeń współtwórców, przeprowadzenia exploita, a następnie natychmiast po ataku zatarli ślady swojej obecności.
Incydent ten służy jako przypomnienie dla uczestników branży krypto, aby zachowali ostrożność i sceptycyzm, nawet podczas interakcji osobistych, ponieważ konferencje kryptowalutowe mogą być głównymi celami dla zaawansowanych aktorów zagrożeń.
Drift powiedział, ze „średnio-wysoką pewnością”, że exploit został przeprowadzony przez tych samych aktorów, którzy stali za atakiem na Radiant Capital w październiku 2024 roku.
W grudniu 2024 roku Radiant Capital ogłosił, że exploit został przeprowadzony za pośrednictwem złośliwego oprogramowania wysłanego przez Telegram przez hakera powiązanego z Koreą Północną, podającego się za byłego kontrahenta.
„Ten plik ZIP, udostępniony do recenzji innym deweloperom, ostatecznie dostarczył złośliwe oprogramowanie, które ułatwiło późniejszą intruzję” – powiedział Radiant Capital.
Drift zaznaczył, że „ważne jest, aby zaznaczyć”, że osoby, które pojawiły się osobiście, „nie były obywatelami Korei Północnej”.
Powiązane: Naoris uruchamia postkwantowy blockchain, gdy ryzyka bezpieczeństwa kwantowego zyskują na znaczeniu
„Aktorzy zagrożeń z KRLD działający na tym poziomie są znani z wykorzystywania pośredników zewnętrznych do budowania relacji twarzą w twarz” – powiedział Drift.
Drift oświadczył, że współpracuje z organami ścigania i innymi podmiotami w branży krypto, aby „stworzyć pełny obraz tego, co wydarzyło się podczas ataku z 1 kwietnia”.
Magazyn: Kryzysy Bitcoina 85% ‘za nami’, narastają spekulacje nt. ustawy CLARITY Act: Hodler’s Digest, 29 marca – 4 kwietnia
