Drift Protocol cho biết cuộc tấn công vào nền tảng của họ vào ngày 1 tháng 4 là kết quả của nhiều tháng lập kế hoạch và kỹ thuật xã hội.
Sàn giao dịch phi tập trung này liên kết vụ việc với một nhóm đã dành thời gian xây dựng lòng tin với các cộng tác viên trước khi gửi các công cụ và liên kết độc hại. Các ước tính bên ngoài cho thấy thiệt hại khoảng 280 triệu USD.
Drift Protocol cho biết đánh giá ban đầu của họ cho thấy một chiến dịch dài và có tổ chức chống lại nền tảng. Nhóm cho biết những kẻ tấn công đã thể hiện “sự hậu thuẫn về tổ chức, nguồn lực và nhiều tháng chuẩn bị kỹ lưỡng” trong quá trình hoạt động.
Sàn giao dịch cho biết việc liên hệ bắt đầu vào khoảng tháng 10 năm 2025. Theo Drift, những người tự xưng là thành viên của một công ty giao dịch định lượng đã tiếp cận các cộng tác viên tại một hội nghị tiền điện tử lớn và tuyên bố muốn tích hợp với giao thức.
Drift cho biết nhóm này tiếp tục gặp gỡ các cộng tác viên tại một số sự kiện trong ngành trong sáu tháng tiếp theo. Nhóm cho biết những người liên quan có kỹ năng kỹ thuật, hiểu cách Drift hoạt động và dường như có kinh nghiệm chuyên môn thực sự.
Việc liên hệ đều đặn đó đã giúp nhóm này giành được lòng tin. Drift cho biết những kẻ tấn công sau đó đã sử dụng các liên kết và công cụ độc hại được chia sẻ với các cộng tác viên để xâm nhập thiết bị, thực hiện khai thác và xóa dấu vết hoạt động của chúng sau vụ vi phạm.
Ngoài ra, Drift cho biết họ có “độ tin cậy từ trung bình đến cao” rằng cùng một nhóm tác nhân đứng sau vụ hack Radiant Capital vào tháng 10 năm 2024 đã thực hiện vụ khai thác này. Cuộc tấn công trước đó đã gây thiệt hại khoảng 58 triệu USD và cũng liên quan đến phần mềm độc hại được sử dụng để truy cập vào các hệ thống nội bộ.
Radiant Capital cho biết vào tháng 12 năm 2024 rằng một tin tặc liên kết với Triều Tiên đã mạo danh một cựu nhà thầu và gửi phần mềm độc hại qua Telegram. Radiant cho biết “tệp ZIP này” sau đó đã lan truyền giữa các nhà phát triển để lấy phản hồi và mở đường cho việc xâm nhập.
Drift cho biết những người đã gặp gỡ các cộng tác viên trực tiếp “không phải là công dân Triều Tiên.” Đồng thời, nhóm cho biết các tác nhân đe dọa liên kết với Triều Tiên thường sử dụng các bên trung gian thứ ba để liên hệ trực tiếp và xây dựng mối quan hệ.
Sàn giao dịch cho biết hiện họ đang làm việc với cơ quan thực thi pháp luật và các bên tham gia khác trong ngành tiền điện tử để xây dựng hồ sơ đầy đủ về cuộc tấn công ngày 1 tháng 4.
Vụ việc cũng đã bổ sung một cảnh báo mới cho các công ty tiền điện tử, vì các hội nghị và cuộc họp trực tiếp có thể tạo cơ hội cho các nhóm đe dọa nghiên cứu các đội ngũ, xây dựng lòng tin và chuẩn bị cho các cuộc tấn công sau này.
