Порушення Drift Protocol на $280 млн: місяці цілеспрямованої підготовки

Drift Protocol, децентралізована біржа, повідомляє, що останнє зламування не було випадковим інцидентом, а шестимісячною, високоскоординованою операцією, здійсненою структурованою мережею зловмисників. Попередня оцінка компанії описує атаку як кампанію в стилі розвідки, яка вимагала організаційної підтримки, значних ресурсів і місяців навмисної підготовки. Зовнішні оцінки визначають збитки приблизно в $280 мільйонів.

Drift простежив план до жовтня 2025 року, коли зловмисники, видаючи себе за компанію з кількісної торгівлі, звернулися до учасників Drift на великій криптоконференції та виявили зацікавленість в інтеграції з протоколом. Протягом наступних шести місяців група особисто взаємодіяла з учасниками Drift на численних галузевих заходах. Drift описав підхід як цільовий: особи з групи виглядали технічно обізнаними, мали перевірені професійні біографії та були знайомі з тим, як працює Drift. Зловмисники використовували особисті зустрічі для встановлення довіри, потім використовували шкідливі посилання та інструменти для компрометації пристроїв учасників, що дозволило здійснити експлойт перед видаленням своїх слідів.

Ключові висновки

• Зламування Drift Protocol описується як шестимісячна скоординована операція із зовнішньою оцінкою збитків близько $280 мільйонів.
• Розслідування вказує на особисту вербувальну кампанію на конференціях, що розпочалася приблизно в жовтні 2025 року, спрямовану на учасників Drift.
• Зловмисники отримали доступ через скомпрометовані пристрої за допомогою шкідливих посилань та інструментів, потім видалили будь-які сліди своєї діяльності після виконання.
• Drift стверджує про можливий зв'язок із зламуванням Radiant Capital у жовтні 2024 року, припускаючи, що ті самі зловмисники можуть бути залучені, хоча атрибуція залишається нюансованою.
• Radiant Capital описав інцидент 2024 року як шкідливе програмне забезпечення, доставлене через Telegram від хакера, пов'язаного з Північною Кореєю, що видавав себе за колишнього підрядника; Drift застерігає, що особи, які з'явилися особисто, не були громадянами Північної Кореї.
• Справа підкреслює постійні ризики безпеки на криптоконференціях і необхідність підвищеної обачності під час взаємодії із зовнішніми співробітниками.

Хронологія подій: від цікавості на конференції до експлойту

Розповідь Drift вказує, що зловмисники розпочали свою взаємодію на відомій галузевій зустрічі, представляючи себе як потенційних партнерів з інтеграції, а не відвертих зловмисників. Протягом наступних місяців група зустрічалася з учасниками Drift на кількох заходах, ретельно вибудовуючи відносини та демонструючи достовірне технічне розуміння операцій Drift. Ця фаза допомогла зловмисникам отримати доступ до внутрішніх каналів та довірених комунікацій, які потім стали каналом для самого експлойту.

Згідно з Drift, операція була навмисно структурована, з організованою підтримкою та ресурсами, які дозволили зловмисникам підтримувати довготривалу кампанію. Зловмисники врешті-решт розгорнули шкідливі інструменти та посилання через скомпрометовані пристрої учасників Drift, що дозволило здійснити зламування. Після експлойту зловмисники, як повідомляється, стерли свої цифрові сліди, ускладнюючи реагування на інцидент та криміналістичну роботу для Drift та його партнерів.

Зламування слугує тверезим нагадуванням для учасників криптопростору: навіть особисті взаємодії на конференціях — які часто розглядаються як можливості для налагодження зв'язків — можуть використовуватися як вектори для витончених, добре забезпечених ресурсами зловмисників. Ця динаміка підкреслює важливість суворої гігієни пристроїв, багаторівневих практик безпеки та обережної співпраці зі сторонніми платформами в секторі, де тканина довіри тісно переплетена з інтероперабельністю.

Зв'язок із Radiant Capital: потенційна лінія зв'язку з важливими застереженнями

Drift заявив, що має високу або середньо-високу впевненість у тому, що та сама група, яка стояла за зламуванням Radiant Capital у жовтні 2024 року, може бути пов'язана з інцидентом Drift. Зламування Radiant Capital було розкрито в грудні 2024 року, при цьому компанія описала вторгнення як шкідливе програмне забезпечення, доставлене через Telegram зловмисником, пов'язаним із Північною Кореєю, що видавав себе за колишнього підрядника. У тому випадку ZIP-файл, який було передано для відгуку серед розробників, нібито доставив шкідливе програмне забезпечення, яке дозволило вторгнення.

Drift підкреслив, що особи, які з'явилися особисто на конференціях, не були громадянами Північної Кореї. Компанія також зазначила, що зловмисники, пов'язані з КНДР, відомі тим, що використовують посередників третіх сторін для проведення особистого встановлення відносин, що є схемою, яка спостерігається і в інших випадках. Зв'язок залишається предметом триваючого розслідування, і атрибуція в складних кіберінцидентах часто розвивається в міру появи нових доказів.

Для контексту, інцидент Radiant Capital підкреслив, як соціальна інженерія та віддалені корисні навантаження можуть поєднуватися з особистим встановленням довіри для зламування навіть витончених систем. Збіг цих наративів — вербування на конференціях, шкідливе програмне забезпечення, доставлене через скомпрометовані пристрої, та зв'язки з попередніми резонансними зламуваннями — буде ретельно вивчатися слідчими під час з'ясування повного ланцюга подій навколо зламування Drift.

Триваюче розслідування та наслідки для галузі

Drift заявив, що співпрацює з правоохоронними органами та іншими учасниками галузі для складання повної картини того, що сталося під час атаки 1 квітня. Розкриття компанії підкреслює постійну потребу в міжгалузевій співпраці в розвідці загроз, реагуванні на інциденти та криміналістиці після зламування. Хоча Drift не розкрив усі технічні деталі компрометації, акцент на тривалих скоординованих зусиллях вказує на рівень витонченості, що виходить за межі opportunistic intrusions.

Для інвесторів і розробників у просторі DeFi інцидент Drift підкріплює кілька практичних висновків. По-перше, навіть давні учасники та довірені відносини не захищені від маніпуляцій, коли зловмисники поєднують особисті тактики з технічними експлойтами. По-друге, атрибуція в витончених кампаніях може бути неоднозначною, що вимагає ретельних, заснованих на доказах перевірок, а не передчасних висновків. Нарешті, епізод підкреслює постійну потребу в надійних архітектурах безпеки, які можуть виявляти та стримувати багатоетапні вторгнення, включаючи скомпрометовані облікові дані, точки опори на рівні пристроїв та сліди після експлуатації.

У міру розгортання розслідування читачам слід стежити за будь-якими оновленнями щодо методів зловмисників, нових індикаторів компрометації та будь-яких програмних змін у тому, як Drift та інші протоколи підходять до залучення учасників, інтеграції партнерів та playbooks реагування на інциденти. Збіг багатомісячного підходу на основі конференцій із потенційним зв'язком із попередніми резонансними зламуваннями підкреслює ширший ландшафт ризиків, з яким стикаються децентралізовані платформи під час масштабування та співпраці в екосистемі.

Те, що залишається невизначеним, — це повний масштаб впливу зламування на користувачів Drift та ліквідність, наскільки швидко платформа відновиться операційно, і чи змінять додаткові випадки атрибуції розуміння схем зловмисників у просторі DeFi. Найближчі тижні будуть ключовими як для прозорості, так і для стану безпеки в галузі, яка все більше покладається на відкриту співпрацю та транскордонні партнерства для інновацій.

Дивлячись вперед, учасники ринку захочуть відстежувати оновлення від Drift та пов'язаних дослідників безпеки щодо будь-яких нових висновків про зловмисників, інструменти та ширші наслідки для управління DeFi, управління ризиками та практик співпраці на основі конференцій.

Ця стаття була спочатку опублікована як Зламування Drift Protocol на $280 млн: місяці навмисної підготовки на Crypto Breaking News — вашому надійному джерелі новин про криптовалюти, новин про Bitcoin і оновлень блокчейну.