Drift Protocol, децентрализованная биржа (DEX), потерявшая в результате взлома около 280 миллионов долларов на прошлой неделе, утверждает, что потери стали результатом шестимесячной, высококоординированной атаки.
«Предварительное расследование показывает, что Drift подвергся структурированной разведывательной операции, требующей организационной поддержки, значительных ресурсов и многомесячной преднамеренной подготовки», — заявила Drift здесь в публикации в X в субботу.
Атака началась на «крупной криптоконференции»
Согласно заявлению Drift, атака берет начало примерно в октябре 2025 года, когда злоумышленники, представляющиеся количественной торговой фирмой, впервые обратились к участникам Drift на «крупной криптоконференции» с намерением интегрироваться с протоколом.
Источник: Drift Protocol
В течение шести месяцев группа продолжала личное взаимодействие с участниками на нескольких отраслевых мероприятиях. «Теперь установлено, что это был целенаправленный подход, когда лица из этой группы намеренно искали и взаимодействовали с конкретными участниками Drift», — заявила Drift.
«Они были технически подкованы, имели подтвержденный профессиональный опыт и хорошо знали, как работает Drift», — добавили в Drift.
Накопив доверие и доступ к протоколу Drift в течение шести месяцев, они использовали общие вредоносные ссылки и инструменты для компрометации устройств участников, осуществления взлома, а затем немедленно заместили следы после атаки.
Этот инцидент служит напоминанием участникам криптоиндустрии о необходимости сохранять осторожность и скептицизм, даже при личном взаимодействии, поскольку криптоконференции могут быть излюбленной целью для сложных злоумышленников.
Drift предполагает высокую вероятность связи со взломом Radiant Capital
Drift заявила, с «умеренно высокой степенью уверенности», что взлом был осуществлен теми же злоумышленниками, которые стоят за взломом Radiant Capital в октябре 2024 года.
В декабре 2024 года Radiant Capital заявила, что взлом был осуществлен через вредоносное программное обеспечение, отправленное через Telegram от хакера, связанного с КНДР, который выдавал себя за бывшего подрядчика.
Источник: Dith
«Этот ZIP-файл, когда его передавали для обратной связи другим разработчикам, в конечном итоге доставил вредоносное программное обеспечение, которое облегчило последующее вторжение», — заявила Radiant Capital.
Drift заявила, что лица, появившиеся лично, «не были гражданами Северной Кореи».
«Злоумышленники из КНДР, действующие на этом уровне, известны тем, что используют третьих лиц для установления личных отношений», — заявила Drift.
Drift заявила, что работает с правоохранительными органами и другими участниками криптоиндустрии, чтобы «составить полную картину произошедшего во время атаки 1 апреля».
