Drift Protocol, децентралізована біржа криптовалют (DEX), каже, що нещодавній експлойт проти платформи був шестимісячною високоскоординованою атакою.
«Попереднє розслідування показує, що Drift зазнав структурованої розвідувальної операції, яка потребувала організаційної підтримки, значних ресурсів і місяців навмисної підготовки», — сказав Drift у пості X у суботу.
Децентралізована біржа була використана в середу, за зовнішніми оцінками, збитки склали близько 280 мільйонів доларів.
Все почалося на «великій криптовалютній конференції»
Згідно з Drift, план атаки можна простежити приблизно до жовтня 2025 року, коли зловмисники, видаючи себе за кількісну торгову фірму, вперше звернулися до учасників Drift на «великій криптовалютній конференції», заявивши, що зацікавлені в інтеграції з протоколом.
Протягом наступних шести місяців група продовжувала особисто залучати учасників до багатьох галузевих заходів. «Тепер стало зрозуміло, що це, схоже, був цілеспрямований підхід, коли особи з цієї групи продовжували навмисно шукати та залучати конкретних учасників Drift», — сказав Дрифт.
«Вони вільно володіли технічною технікою, мали професійний досвід, який можна перевірити, і були знайомі з тим, як працює Drift», — сказав Дрифт.
Завоювавши довіру та доступ до Drift Protocol протягом шести місяців, вони використовували спільні шкідливі посилання та інструменти, щоб скомпрометувати пристрої учасників, запустити експлойт, а потім стерти свою присутність одразу після атаки.
Інцидент служить нагадуванням учасникам індустрії криптовалют, щоб вони залишалися обережними та скептичними, навіть під час особистої взаємодії, оскільки криптовалютні конференції можуть бути головною мішенню для досвідчених учасників загроз.
Drift позначає високу ймовірність посилання на хакер Radiant Capital
Drift сказав із «середньо-високою впевненістю», що експлойт був здійснений тими самими особами, які стояли за хакерським хакерством Radiant Capital у жовтні 2024 року.
У грудні 2024 року Radiant Capital заявив, що експлойт було здійснено через шкідливе програмне забезпечення, надіслане через Telegram від хакера, пов’язаного з Північною Кореєю, який видавав себе за колишнього підрядника.
«Цей ZIP-файл, який надіслали іншим розробникам для отримання відгуків, зрештою доставляв зловмисне програмне забезпечення, яке сприяло наступному вторгненню», — заявили в Radiant Capital.
Дріфт сказав, що «важливо відзначити», що особи, які з’явилися особисто, «не були громадянами Північної Кореї».
«Відомо, що суб’єкти загрози КНДР, які діють на цьому рівні, залучають сторонніх посередників для налагодження стосунків віч-на-віч», — сказав Дріфт.
Компанія Drift заявила, що співпрацює з правоохоронними органами та іншими представниками індустрії криптовалют, щоб «скласти повну картину того, що сталося під час атаки 1 квітня».
