Drift: Nghi nhóm hacker Triều Tiên âm thầm tiếp cận 6 tháng, đoạt quyền truy cập

Drift công bố bản điều tra cập nhật về vụ tấn công, cho rằng thủ phạm là cùng nhóm đứng sau vụ hack Radiant Capital tháng 10/2024, dựa trên luồng tiền on-chain và phương thức vận hành có mức độ tương đồng cao.

Mandiant từng quy kết vụ hack Radiant Capital cho UNC4736, một tổ chức có liên hệ với chính phủ Triều Tiên, khiến vụ việc của Drift được đặt trong bối cảnh rủi ro từ các tác nhân đe dọa có tổ chức.

Thủ đoạn xâm nhập được chuẩn bị trong 6 tháng

Drift cho biết cuộc tấn công được lên kế hoạch tỉ mỉ trong 6 tháng, bắt đầu từ mùa thu 2025.

Một nhóm giả danh “công ty giao dịch định lượng” chủ động tiếp cận các cộng tác viên của Drift tại nhiều hội nghị tiền điện tử quốc tế, lập nhóm Telegram và trao đổi kinh doanh, chiến lược trong thời gian dài.

Nhóm này thậm chí triển khai một Ecosystem Vault trên Drift với 1 triệu USD tiền thật. Sau nhiều cuộc gặp trực tiếp để tạo niềm tin, họ chia sẻ các liên kết và công cụ, và dường như hoàn tất xâm nhập thông qua một kho mã độc hại và một ứng dụng ví beta (TestFlight). Sau vụ tấn công, toàn bộ log chat liên quan và mã độc đã bị xóa sạch.

Tình trạng hiện tại

Drift nhấn mạnh điều tra vẫn đang tiếp diễn và các phát hiện hiện tại chỉ mang tính sơ bộ.

Tất cả chức năng còn lại của giao thức đã bị đóng băng. Ví bị xâm phạm đã được loại khỏi cơ chế xác thực đa chữ ký, còn ví của kẻ tấn công đã bị các sàn giao dịch và đơn vị vận hành cầu nối cross-chain gắn cờ.

Các báo cáo trước đó cho biết Drift thiệt hại hơn 285 triệu USD trong vụ tấn công.