Współzałożyciel Solany, Anatoly Yakovenko, określił niedawny atak na Drift Protocol jako "przerażający" po tym, jak ujawniono, że był on wynikiem wyrafinowanego ataku socjotechnicznego przeprowadzonego przez północnokoreańskich hakerów.
Jak podało U.Today, z Drift Protocol niedawno wyciekło 270 milionów dolarów, co czyni go największym atakiem na Solanę w historii ekosystemu. Protokół został zmuszony do wstrzymania wszystkich wpłat i wypłat, wyraźnie ostrzegając użytkowników, że incydent nie był żartem primaaprilisowym.
Raport, który został niedawno udostępniony przez Drift Protocol, ujawnił, że źli aktorzy stojący za historycznym atakiem fizycznie śledzili i stosowali socjotechnikę wobec deweloperów w prawdziwym życiu. Wymagało to niepokojącej cierpliwości i zasobów.
Podejrzewa się, że operacja jest dziełem północnokoreańskiej grupy zagrożeń powiązanej z państwem.
Począwszy od końca 2025 roku, zewnętrzni pośrednicy (którzy nie byli obywatelami Korei Północnej) fizycznie zbliżyli się do współpracowników Drift na ważnych konferencjach kryptowalutowych. Atakujący, którzy chwalili się weryfikowalnym doświadczeniem zawodowym i biegłością techniczną, podawali się za firmę handlową stosującą strategie ilościowe, dążącą do integracji z protokołem.
Fałszywa firma handlowa wprowadziła Ecosystem Vault na Drift między grudniem 2025 a styczniem 2026 roku i zdeponowała ponad 1 milion dolarów własnego kapitału.
Atakującym udało się utrzymać iluzję przez pół roku. Ściśle współpracowali z deweloperami Drift podczas wielu sesji roboczych i spotykali się z nimi osobiście na różnych międzynarodowych konferencjach w lutym i marcu 2026 roku.
Do kwietnia atakujący z powodzeniem nawiązali zaufaną relację biznesową. Współpracownicy Drift nie podejrzewali niczego złego, gdy grupa udostępniła linki do projektów, które rzekomo tworzyli.
Jeden ze współpracowników sklonował repozytorium kodu udostępnione przez atakujących. Repozytorium to prawdopodobnie zawierało znaną lukę wpływającą na edytory tekstu VSCode i Cursor. Drugi współpracownik został przekonany do pobrania fałszywej aplikacji TestFlight.
Atakujący usunęli wszystkie swoje czaty na Telegramie i zlikwidowali złośliwe oprogramowanie po udanym wykorzystaniu luki.
