Автор Chao Cheng Zedong тема Новости

Эксплойт Drift Protocol на $280 млн готовили месяцами

Эксплойт Drift Protocol на $280 млн готовили месяцами

Децентрализованная криптобиржа Drift Protocol заявила, что недавняя атака на платформу была тщательно скоординированной операцией, которая продолжалась около шести месяцев.

По словам Drift, предварительное расследование указывает на «структурированную разведоперацию», требовавшую организационной поддержки, значительных ресурсов и месяцев целенаправленной подготовки.

Платформу взломали в среду, а сторонние оценки ущерба составляют около $280 млн.

Все началось на «крупной криптоконференции»

Как утверждает Drift, план атаки можно проследить примерно до октября 2025 года. Тогда злоумышленники, представившись компанией, занимающейся количественным трейдингом, впервые вышли на участников проекта на «крупной криптоконференции» и заявили об интересе к интеграции с протоколом.

Источник: Drift Protocol

В течение следующих шести месяцев группа продолжала лично контактировать с участниками Drift на нескольких отраслевых мероприятиях. В Drift отмечают, что это выглядело как целенаправленный подход: представители группы намеренно находили конкретных участников проекта и выстраивали с ними общение.

Также в Drift подчеркнули, что эти люди были технически подкованы, имели проверяемый профессиональный бэкграунд и хорошо понимали, как устроена работа протокола.

После того как злоумышленники завоевали доверие и получили доступ, они использовали вредоносные ссылки и инструменты, чтобы скомпрометировать устройства участников, провести атаку, а затем быстро «стерли» следы присутствия.

Инцидент, по мнению Drift, напоминает участникам криптоиндустрии о необходимости сохранять осторожность и здоровый скептицизм даже при личных встречах: конференции могут быть удобной целью для сложных атак.

Drift допускает связь со взломом Radiant Capital

Drift сообщила, что со «средне-высокой уверенностью» считает: эксплойт могли провести те же участники, которые стояли за взломом Radiant Capital в октябре 2024 года.

В декабре 2024 года Radiant Capital заявляла, что взлом был осуществлен через вредоносное ПО, отправленное в Telegram: северокорейский хакер, выдававший себя за бывшего подрядчика, прислал файл, который и стал точкой входа.

Источник: Dith

Radiant Capital отмечала, что ZIP-архив, который разработчики пересылали друг другу «для обратной связи», в итоге доставил вредоносное ПО и помог провести дальнейшее проникновение.

При этом Drift отдельно подчеркнула, что люди, которые встречались с участниками проекта лично, «не были гражданами Северной Кореи».

В Drift добавили, что связанные с КНДР группы, действующие на таком уровне, нередко используют посредников для личных контактов и выстраивания отношений.

Drift также сообщила, что сотрудничает с правоохранительными органами и участниками криптоиндустрии, чтобы «восстановить полную картину» того, что произошло во время атаки 1 апреля.

Источник: Drift Protocol, Dith