Drift Protocol (DRIFT) 5 сәуірде егжей-тегжейлі оқиға жаңартуын жариялап, 1 сәуірдегі 285 млн долларлық шабуыл алты ай бойы жүргізілген Солтүстік Корея мемлекеті қолдайтын тұлғаларға тиесілі арнайы барлау операциясының нәтижесі екенін мәлімдеді.
Ашық түрде жарияланған ақпарат кәдімгі фишинг немесе рекрутерлер алаяқтығынан әлдеқайда асып түсетін әлеуметтік инженерияның күрделілігін сипаттайды. Оған қоса, көзбе-көз кездесулер, нақты қаражат енгізу және айлар бойғы сенімділікті қалыптастыру секілді әдістер қолданылған.
Ұзақ мерзімді ұстаным ұстанған жалған трейдинг фирмасы
Drift ақпаратына сәйкес, уақытша квантитативті трейдинг фирмасы ретінде көрсеткен топ 2025 жылдың күзінде ірі крипто конференциясында қатысушыларға алғаш жолыққан.
Осы айлар ішінде аталған тұлғалар бірнеше елде түрлі іс-шараларға қатысып, жұмыс сессияларын өткізіп, әрі Telegram арқылы сейф интеграциясы жайлы үздіксіз әңгімелесті.
Жаңалықтарды бірінші болып білу үшін бізге X желісінде жазылыңыз
2025 жылдың желтоқсанынан 2026 жылдың қаңтарына дейін топ Drift платформасында Экожүйе сейфін іске қосып, 1 млн доллардан астам қаражат енгізіп, әрі өнім жайлы егжей-тегжейлі талқылауға қатысты.
Наурыз айында Drift қатысушылары аталған топпен бірнеше рет бетпе-бет кездескен.
«…ең қауіпті хакерлер хакерлерге ұқсамайды», — деп пікір білдірді крипто-дамытуға қатысушы Гаутам.
Тіпті Web қауіпсіздік саласындағы мамандар аталған жайтты қауіпті деп санап отыр. Зерттеуші Тай алғашында кәдімгі рекрутерлік алаяқтық деп ойлағанымен, операцияның ауқымы санасынан тыс деңгейде болғанын атап өтті.
Құрылғылар қалай бұзылды
Drift ықтимал үш шабуыл жолын анықтады:
- Бір қатысушы топ ұсынған сейф интерфейсі үшін кодтық репозиторийді көшірген.
- Екіншісі әмиян өнімі ретінде ұсынылған TestFlight қосымшасын жүктеп алған.
- Репозиторий желісі үшін Drift сарапшылардың 2025 жылдың соңынан бері ескертіп келе жатқан VSCode және Cursor бағдарламаларындағы осалдықты атап өтті.
Аталған осалдық редакторда файл не қалта ашылған сәтте пайдаланушының араласуынсыз кез келген кодтың жасырын орындалуына мүмкіндік берді.
1 сәуірдегі ағыннан кейін шабуылдаушылар Telegram-дағы барлық чаттарды және зиянды бағдарламаны өшіріп, Drift протоколдың қалған функцияларын бұғаттап, скомпрометацияланған әмияндарды мультисигтен алып тастады.
SEALS 911 командасының бағалауынша, осы шабуылды жасаған бір топ қазан 2024 жылғы Radiant Capital шабуылын да жасаған. Mandiant ол шабуылды UNC4736-ға теліген.
Он-чейн қор ағындары мен екі науқан арасындағы операциялық ұқсастықтар бұл байланысты нығайтады.
Сала қауіпсіздікті қайта қарауды ұсынуда
Solana жобасының танымал дамытушысы Армани Ферранте әрбір крипто командасын даму ісін уақытша тоқтатып, бүкіл қауіпсіздік жүйесін тексеруге шақырды.
«Әр команда крипто саласында осы жағдайды пайдаланып, дамуды бәсеңдетіп, қауіпсіздікке басымдық бергені жөн. Мүмкіндік болса, осы салада жеке команда бөлген маңызды… Егер сізге шабуыл жасалса, өсе алмайсыз», — деп атап өтті Ферранте.
Drift бетпе-бет кездескен адамдар Солтүстік Корея азаматтары болмағанын түсіндірді. DPRK деңгейіндегі қауіп төндірушілер көзбе-көз байланыс үшін жиі үшінші тұлға арқылы жұмыс істеуімен белгілі.
Drift құрылғы фореникасын зерттеуде Mandiant-пен жұмыс істеп жатқанын, алайда әзірге ресми түрде шабуыл үшін жауаптыны атамағанын ескерткен.
Жарияланған ақпарат экожүйе үшін ескерту іспетті. Drift командаларды рұқсаттарды мұқият тексеруге, мультисигпен байланысты кез келген құрылғыны ықтимал мақсат ретінде қарастыруға және дәл осындай шабуыл белгілерін байқаса, SEALS 911-ге хабарласуға шақырды.
