Drift Protocol a declarat că atacul din 1 aprilie asupra platformei sale a urmat luni de planificare și inginerie socială.
Bursa descentralizată a legat cazul de un grup care a petrecut timp construind încredere cu colaboratorii înainte de a trimite instrumente și linkuri malițioase. Estimările externe plasează pierderea la aproximativ 280 de milioane de dolari.
Drift Protocol a declarat că revizuirea sa inițială a descoperit o campanie lungă și organizată împotriva platformei. Echipa a declarat că atacatorii au demonstrat „suport organizațional, resurse și luni de pregătire deliberată” în timpul operațiunii.
Bursa a declarat că contactul a început în jurul lunii octombrie 2025. Potrivit Drift, persoane care se dădeau drept membri ai unei firme de tranzacționare cantitativă au abordat colaboratori la o conferință cripto majoră și au susținut că doreau să se integreze cu protocolul.
Drift a declarat că grupul a continuat să se întâlnească cu colaboratorii la mai multe evenimente din industrie în următoarele șase luni. Echipa a declarat că persoanele implicate erau calificate tehnic, știau cum funcționa Drift și păreau să aibă antecedente profesionale reale.
Acest contact constant a ajutat grupul să câștige încredere. Drift a declarat că atacatorii au folosit ulterior linkuri și instrumente malițioase partajate cu colaboratorii pentru a compromite dispozitive, a efectua exploit-ul și a elimina urmele activității lor după breșă.
În plus, Drift a declarat că are „încredere medie-ridicată” că aceiași actori din spatele atacului Radiant Capital din octombrie 2024 au efectuat acest exploit. Atacul anterior a cauzat pierderi de aproximativ 58 de milioane de dolari și a implicat, de asemenea, malware utilizat pentru a obține acces la sistemele interne.
Radiant Capital a declarat în decembrie 2024 că un hacker aliniat Coreei de Nord s-a dat drept fost contractor și a trimis malware prin Telegram. Radiant a declarat că „acest fișier ZIP” s-a răspândit ulterior printre dezvoltatori pentru feedback și a deschis calea pentru intruziune.
Drift a declarat că persoanele care s-au întâlnit cu colaboratorii personal „nu erau cetățeni nord-coreeni”. În același timp, echipa a declarat că actorii de amenințare legați de RPDC utilizează adesea intermediari terți pentru contactul față în față și construirea relațiilor.
Bursa a declarat că lucrează acum cu forțele de ordine și alți participanți din industria cripto pentru a construi un dosar complet al atacului din 1 aprilie.
Cazul a adăugat, de asemenea, un avertisment proaspăt pentru firmele cripto, deoarece conferințele și întâlnirile față în față pot oferi grupurilor de amenințare o șansă de a studia echipele, de a construi încredere și de a pregăti atacuri ulterioare.
