Un grup nord-coreean a dat vina pe atacul cibernetic de 285 de milioane de dolari al Drift Protocol, care a durat șase luni.

1 aprilie 2026 exploata of suntrapProtocolul Drift, bazat pe , care a absorbit aproximativ 285 de milioane de dolari de pe platformă, nu a fost un atac spontan. Conform datelor preliminare ale Drift investigaţie...a fost rezultatul unei operațiuni de informații structurate care a început cu cel puțin șase luni mai devreme, atribuită cu o încredere medie-ridicată UNC4736, un grup de amenințare afiliat statului nord-coreean, urmărit și ca AppleJeus sau Citrine Sleet.

Cum a început de fapt hacking-ul protocolului Drift?

Conform echipei Drift Protocol, operațiunea a început la o conferință importantă despre criptomonede în toamna anului 2025, unde persoane care se prezentau drept firme de tranzacționare cantitativă au abordat colaboratorii Drift. Ceea ce a urmat nu a fost o tentativă rapidă de phishing. A fost o campanie deliberată, de construire a relațiilor, de luni de zile, desfășurată în cadrul mai multor întâlniri față în față, la mai multe conferințe din industrie, în mai multe țări.

Grupul a fost din punct de vedere tehnic fluent, dețineau experiențe profesionale verificabile și demonstrau o familiaritate detaliată cu modul în care opera Drift. După prima întâlnire a fost înființat un grup Telegram, iar discuțiile substanțiale despre strategiile de tranzacționare și integrările în seifuri au continuat timp de luni de zile. Echipa lui Drift a remarcat că aceste interacțiuni au fost în totalitate în concordanță cu modul în care firmele de tranzacționare legitime interacționează de obicei cu protocolul.

Din decembrie 2025 până în ianuarie 2026, grupul a integrat un Seif Ecosistem pe Drift. Acest proces a implicat trimiterea detaliilor strategiei printr-un formular formal de admitere, participarea la multiple sesiuni de lucru cu contribuitorii Drift și depunerea a peste 1 milion de dolari din capitalul propriu. Aceștia au construit o prezență operațională funcțională în cadrul protocolului, în mod deliberat și răbdător.

Ultimele luni înainte de exploatare

Discuțiile despre integrare au continuat în februarie și martie 2026. Contribuitorii Drift s-au întâlnit din nou, personal, cu persoane din grup la evenimente importante din industrie. Până la sfârșitul lunii aprilie, relația avea aproape șase luni. Aceștia nu erau străini. Erau oameni alături de care echipa Drift lucrase și se întâlnise față în față în repetate rânduri.

În această perioadă, grupul a distribuit linkuri către proiecte, instrumente și aplicații pe care pretindea că le dezvoltă. Partajarea unor astfel de resurse este o practică standard în relațiile comerciale cu firmele, ceea ce a transformat-o într-un mecanism eficient de livrare a informațiilor.

Care au fost vectorii de atac tehnic?

După atacul din 1 aprilie, Drift a efectuat o analiză criminalistică a dispozitivelor, conturilor și istoricului de comunicare afectate. Chat-urile Telegram și software-ul rău intenționat folosit de grup fuseseră complet șterse în momentul în care a avut loc atacul. Investigația Drift a identificat trei vectori de intruziune probabili:

• Este posibil ca un contribuitor să fi fost compromis după clonarea unui depozit de cod partajat de grup, prezentat ca un instrument de implementare frontend pentru seiful lor.
• Un al doilea contribuitor a fost convins să descarce o aplicație TestFlight, pe care grupul a descris-o drept produsul lor de tip portofel. TestFlight este platforma Apple pentru distribuirea versiunilor beta ale aplicațiilor iOS înainte de lansarea lor publică.
• Pentru vectorul bazat pe repozitoriu, mecanismul probabil a fost o vulnerabilitate cunoscută în editorii de cod VSCode și Cursor, pe care cercetătorii în domeniul securității au semnalat-o activ între decembrie 2025 și februarie 2026. Deschiderea unui fișier, folder sau repozitoriu în editorul afectat a fost suficientă pentru a executa în mod silențios cod arbitrar, fără solicitări, avertismente, dialoguri de permisiuni sau orice indicație vizibilă pentru utilizator.

Analiza criminalistică completă a hardware-ului afectat era încă în curs de desfășurare la momentul publicării.

Cât de repede s-a executat atacul?

Configurarea a durat poate șase luni, dar execuția a fost rapidă. Odată ce controlul administrativ asupra protocolului a fost preluat, fondurile reale ale utilizatorilor au fost epuizate în mai puțin de 12 minute. Valoarea totală blocată (TVL) a Drift a scăzut de la aproximativ 550 de milioane de dolari la sub 300 de milioane de dolari în mai puțin de o oră. Tokenul DRIFT a scăzut cu peste 40% în timpul incidentului. Firma de securitate PeckShield a confirmat că pierderea totală a depășit 285 de milioane de dolari, reprezentând peste 50% din TVL-ul protocolului la momentul respectiv.

Echipa lui Drift a postat pe X în timpul haosului pentru a clarifica situația, scriind: „Nu este o glumă de 1 Aprilie. Procedați cu prudență până la o nouă notificare.” Toate depunerile și retragerile au fost suspendate odată cu începerea anchetei.

Descoperă proiecte promițătoare...

Proiecte promițătoare...

(Publicitate)

Articolul continuă...

Unde s-au dus cele 285 de milioane de dolari?

Atacatorul s-a mișcat rapid pentru a ascunde traseul fondurilor după exploatare. Activele furate au fost convertite în USDC și SOL, apoi a fost legată de Solana până la Ethereum utilizând protocolul de transfer Cross-Chain (CCTP) al Circle. CCTP este infrastructura nativă de bridging a Circle care permite USDC să se miște între diferite blockchain-uri fără încapsulare. Pe Ethereum, fondurile au fost convertite în ETH. Urmărirea on-chain a confirmat că atacatorul a acumulat în cele din urmă 129,066 ETH, în valoare de aproximativ 273 de milioane de dolari la momentul respectiv.

Atacatorul a depus, de asemenea, SOL în ambele HiperLichid și Binance, răspândind activitatea pe mai multe platforme pentru a complica eforturile de urmărire.

A răspuns Cercul suficient de repede?

Investigatorul ZachXBT, specializat în tranzacționarea on-chain, a criticat public Circle după această exploatare, subliniind că cantități mari de USDC furate au fost transferate de la Solana la Ethereum în timpul programului de lucru din SUA, fără a fi înghețate. ZachXBT a comparat acest lucru cu decizia recentă a Circle de a îngheța 16 portofele corporative „hot wallet” fără legătură într-un proces civil american sigilat, argumentând că Circle avea atât capacitatea tehnică, cât și un precedent clar pentru a interveni, dar nu a acționat suficient de rapid pentru a limita pagubele.

Cine se află în spatele atacului?

Cu un grad de încredere mediu-ridicat și susținută de investigațiile efectuate de echipa SEALS 911, ancheta lui Drift atribuie operațiunea acelorași actori amenințători responsabili de atacul cibernetic de la Radiant Capital din octombrie 2024. Atacul respectiv a fost atribuit oficial de Mandiant grupării UNC4736, un grup afiliat statului nord-coreean.

Baza acestei conexiuni este atât on-chain, cât și operațională. Fluxurile de fonduri utilizate pentru a organiza și testa operațiunea Drift sunt urmărite înapoi la portofele legate de atacatorii Radiant. În plus, personajele implementate pe parcursul campaniei Drift au suprapuneri identificabile cu modele de activitate cunoscute legate de RPDC.

O clarificare importantă din partea echipei lui Drift: persoanele care au apărut în persoană la conferințe nu erau cetățeni nord-coreeni. La acest nivel de operațiune, se știe că actorii care atacă în mod amenințător au legătură cu RPDC folosesc intermediari terți pentru a gestiona construirea relațiilor față în față, ținând la distanță agenții efectivi.

Mandiant a fost angajată oficial pentru anchetă, dar nu a emis încă o atribuire oficială pentru exploatarea Drift. Această determinare necesită analize criminalistice complete ale dispozitivului, care sunt încă în curs de desfășurare.

Măsuri actuale de răspuns

La momentul publicării, Drift a luat următoarele măsuri:

• Toate funcțiile de protocol rămase au fost înghețate
• Portofelele compromise au fost eliminate din multisigătură
• Portofelele atacatorilor au fost semnalate la burse și operatori de punți
• Mandiant a fost angajat ca partener criminalistic principal

Drift a declarat că distribuie aceste detalii public, astfel încât alte echipe din ecosistem să poată înțelege cum arată de fapt acest tip de atac și să ia măsuri pentru a se proteja în consecință.

Concluzie

Ciocnirea cibernetică a Protocolului Drift nu este o poveste despre o vulnerabilitate de cod care a scăpat printr-un audit. Este o poveste despre o înșelăciune umană susținută. Atacatorii au petrecut șase luni construindu-și credibilitatea prin întâlniri față în față, o integrare funcțională a seifului și peste 1 milion de dolari din capitalul propriu depus înainte de a executa o sechestru de 12 minute de 285 de milioane de dolari.

 Vectorii tehnici, un depozit de cod malițios și o aplicație TestFlight falsă, au fost eficienți tocmai pentru că încrederea necesară pentru a le deschide fusese deja construită cu atenție. 

Pentru protocoalele DeFi, lecția este directă: suprafața de atac nu se limitează la contracte inteligente. Aceasta include fiecare dispozitiv contribuitor, fiecare depozit terț și fiecare relație construită la o conferință din industrie. UNC4736 a demonstrat acest lucru de două ori, prima dată la Radiant Capital în octombrie 2024 și din nou la Drift în aprilie 2026, cu aceeași abordare răbdătoare și bazată pe resurse de fiecare dată.

Resurse

1. Protocol de drift pe XPostare pe 5 martie

2. PeckShield pe XPostări (1-2 aprilie)

3. Lookonchain pe XPostări (1-2 aprilie)