Drift Protocol раскрыл подробности об эксплойте 1 апреля 2026 года, описав скоординированную атаку, подготовленную в течение шести месяцев. Децентрализованная биржа сообщила, что взлом последовал за личными встречами, техническим взаимодействием и распространением вредоносного программного обеспечения. Инцидент, произошедший 1 апреля, затронул скомпрометированных участников и привел к предполагаемым убыткам в размере около 280 000 000 $.
Drift Protocol отслеживает долгосрочную социальную инженерию
В статье X Drift Protocol сообщил, что атака началась примерно в октябре 2025 года на крупной криптоконференции. По словам Drift Protocol, лица, выдававшие себя за количественную торговую фирму, обратились к участникам, стремясь к интеграции.
Однако взаимодействие на этом не остановилось. Группа продолжала вовлекать участников на множественных глобальных отраслевых конференциях в течение шести месяцев. Они представили проверенные профессиональные биографии и продемонстрировали техническую компетентность во время повторных личных встреч.
Также они создали группу в Telegram после первоначального контакта. Со временем они обсуждали торговые стратегии и потенциальные интеграции хранилищ с участниками. Эти обсуждения следовали стандартным схемам адаптации для торговых фирм, взаимодействующих с Drift Protocol.
С декабря 2025 года по январь 2026 года группа интегрировала экосистемное хранилище. Они представили детали стратегии и внесли более 1 000 000 $ в протокол. Тем временем они проводили рабочие сессии и задавали подробные вопросы о продукте.
Компрометация связана с общими инструментами и доступом к устройствам
По мере того как переговоры об интеграции продолжались в феврале и марте 2026 года, доверие углублялось. Участники снова встретились с группой на отраслевых мероприятиях, укрепляя существующие отношения. Однако позже Drift Protocol идентифицировал эти взаимодействия как вероятный вектор вторжения.
По данным Drift Protocol, злоумышленники делились вредоносными репозиториями и приложениями во время сотрудничества. Это полная противоположность обращению ZachXBT к Circle по поводу задержки эксплойта на 280 000 000 $. Один участник, как сообщается, клонировал репозиторий кода, представленный как инструмент развертывания фронтенда.
Источник: Arkham
Другой участник загрузил приложение TestFlight, описанное как продукт кошелька. Эти действия потенциально подвергли устройства компрометации. Для вектора репозитория Drift Protocol указал на известную уязвимость в VSCode и Cursor.
С декабря 2025 года по февраль 2026 года открытие файлов могло привести к тихому выполнению кода без предупреждений. После эксплойта Drift Protocol провел криминалистическую проверку затронутых устройств и учетных записей. Примечательно, что каналы связи злоумышленников и вредоносное ПО были удалены сразу после выполнения.
Атрибуция и текущие усилия по расследованию
Drift Protocol заявил, что заморозил все функции протокола после обнаружения эксплойта. Он также удалил скомпрометированные кошельки из своей структуры мультиподписи и отметил кошельки злоумышленников на биржах и мостах. Компания привлекла Mandiant для поддержки расследования. Тем временем SEALs 911 предоставил анализ, указывающий на известную группу угроз.
С уверенностью от средней до высокой децентрализованная биржа связала атаку с субъектами, стоящими за взломом Radiant Capital в октябре 2024 года. Эта операция ранее была приписана UNC4736, также известной как AppleJeus или Citrine Sleet.
Drift Protocol пояснил, что лица, участвовавшие в личных встречах, не были гражданами Северной Кореи. Вместо этого он отметил, что такие операции часто используют посредников третьей стороны для личного взаимодействия.
По словам ZachXBT, деятельность отражает известные кибероперации, связанные с КНДР, часто сгруппированные под зонтиком Lazarus. Он объяснил, что Lazarus относится к кластеру хакерских подразделений, в то время как КНДР указывает на государственную принадлежность этих операций. Он отметил, что такие группы используют многослойные идентичности, посредников и долгосрочное построение доступа перед выполнением атак.
Источник: ZachXBT
ZachXBT добавил, что потоки средств ончейн, связанные с эксплойтом, показывают совпадения с кошельками, связанными с предыдущими инцидентами, связанными с КНДР, включая Radiant Capital. Он также подчеркнул операционные сходства, включая поэтапные взаимодействия, доставку вредоносного ПО через доверенные каналы и быструю очистку после выполнения.
Drift Protocol подчеркнул, что все подписанты мультиподписи использовали холодные кошельки во время инцидента. Он продолжает работать с правоохранительными органами и криминалистическими партнерами для завершения расследования.
Источник: https://coingape.com/drift-hack-update-protocol-shares-latest-security-update-on-april-1-exploit/
