Schimbul descentralizat (DEX) bazat pe Solana, Drift Protocol, a declarat duminică că atacul care a golit aproximativ 285 de milioane de dolari din platformă a fost o operațiune de informații structurată pe șase luni, efectuată de un grup de amenințări afiliat statului nord-coreean.
Atacatorii au folosit identități profesionale false, întâlniri la conferințe în persoană și instrumente de dezvoltare malițioase pentru a compromite contribuitorii înainte de a executa drenajul, a declarat protocolul într-o actualizare detaliată a incidentului.
https://t.co/qYBMCup9i6
— Drift (@DriftProtocol) April 5, 2026
„Echipele cripto se confruntă acum cu adversari care operează mai degrabă ca unități de informații decât ca hackeri, iar majoritatea organizațiilor nu sunt pregătite structural pentru acest nivel de amenințare”, a declarat Michael Pearl, vicepreședinte de strategie la firma de securitate blockchain Cyvers, pentru Decrypt.
Drift a declarat că grupul a abordat pentru prima dată contribuitorii la o conferință cripto majoră în toamna trecută, prezentându-se ca o firmă de tranzacționare cantitativă care dorea să se integreze cu protocolul.
De-a lungul lunilor, grupul a construit încredere prin întâlniri în persoană, coordonare prin Telegram, a integrat un Seif Ecosistem pe Drift și a făcut o depunere de 1 milion de dolari din propriul capital, doar pentru a dispărea, cu chaturile și malware-ul „complet șterse” când a avut loc exploatarea.
DEX-ul a declarat că intruziunea ar fi putut implica un depozit de cod malițios, o aplicație TestFlight falsă și o vulnerabilitate VSCode/Cursor care a permis executarea silențioasă a codului fără interacțiunea utilizatorului.
Drift a atribuit atacul cu „încredere medie-ridicată” grupului UNC4736, cunoscut și sub numele de AppleJeus sau Citrine Sleet – același grup afiliat statului nord-coreean pe care firma de securitate cibernetică Mandiant l-a legat de atacul Radiant Capital din 2024.
Drift a declarat că persoanele care s-au întâlnit cu contribuitorii în persoană nu erau cetățeni nord-coreeni, menționând că actorii legați de RPDC se bazează adesea pe intermediari terți pentru „interacțiuni față în față”.
Fluxurile de fonduri onchain și suprapunerea de persoane indică actori legați de RPDC, conform respondenților la incidente SEAL 911, deși Mandiant nu a confirmat încă atribuirea în așteptarea investigațiilor criminalistice, a remarcat platforma.
Cercetătorul în securitate @tayvano_, unul dintre experții pe care Drift i-a creditat pentru asistența în identificarea actorilor malițioși, a sugerat că expunerea se extinde mult dincolo de acest incident.
Într-un tweet, expertul a enumerat zeci de protocoale DeFi, susținând că „lucrătorii IT din RPDC au construit protocoalele pe care le cunoașteți și le iubiți, încă de la ‘defi summer’.”
„Drift și Bybit evidențiază același tipar — semnatarii nu au fost compromiși direct la nivel de protocol, au fost păcăliți să aprobe tranzacții malițioase”, a remarcat Pearl. „Problema principală nu este numărul de semnatari, ci lipsa înțelegerii intenției tranzacției.”
El a spus că portofelele multisemnatură, deși reprezintă o îmbunătățire față de controlul cu o singură cheie, creează acum un fals sentiment de securitate, introducând „un paradox” în care responsabilitatea partajată reduce controlul printre semnatari.
„Securitatea trebuie să se mute către validarea pre-tranzacție la nivel de blockchain, unde tranzacțiile sunt simulate și verificate independent înainte de execuție”, a spus Pearl, adăugând că, odată ce atacatorii controlează ceea ce văd utilizatorii, singura apărare eficientă este validarea a ceea ce face o tranzacție de fapt, indiferent de interfață.
Cu privire la instrumentele de dezvoltare ca suprafață de atac, Lavid a spus că presupunerea trebuie schimbată de la bază.
„Trebuie să presupunem că punctul final este compromis”, a declarat el pentru Decrypt, indicând IDE-urile, depozitele de cod, aplicațiile mobile și mediile de semnare ca puncte de intrare din ce în ce mai comune.
„Dacă aceste instrumente fundamentale sunt vulnerabile, orice afișat utilizatorului — inclusiv tranzacțiile — poate fi manipulat”, a spus expertul, menționând că acest lucru „rupe fundamental presupunerile tradiționale de securitate”, lăsând echipele incapabile să aibă încredere în „interfață, dispozitiv sau chiar în fluxul de semnare.”
