Drift Protocol (DRIFT) opublikował szczegółowe podsumowanie incydentu 5 kwietnia, ujawniając, że atak na 285 mln USD z 1 kwietnia był wynikiem sześciomiesięcznej operacji wywiadowczej przeprowadzonej przez hakerów powiązanych z państwem Korei Północnej.
Ujawnienie opisuje poziom inżynierii społecznej, który znacznie wykracza poza typowe ataki phishingowe czy oszustwa rekruterów. Obejmował on spotkania na żywo, realne inwestycje kapitałowe i wielomiesięczne budowanie zaufania.
Fałszywa firma handlowa, która grała na długi termin
Według Drift, grupa podszywająca się pod firmę tradingową po raz pierwszy zbliżyła się do współpracowników podczas dużego wydarzenia krypto jesienią 2025 roku.
W kolejnych miesiącach te osoby pojawiały się na wielu wydarzeniach w różnych krajach, organizowały sesje robocze i utrzymywały stały kontakt przez Telegram na temat integracji skarbców.
Obserwuj nas na X, aby otrzymywać najnowsze wiadomości na bieżąco
Między grudniem 2025 a styczniem 2026 grupa wdrożyła Ecosystem Vault na Drift, wpłaciła ponad 1 mln USD kapitału i uczestniczyła w szczegółowych rozmowach produktowych.
W marcu współpracownicy Drift kilkukrotnie spotkali się z tymi osobami twarzą w twarz.
„…najgroźniejsi hakerzy nie wyglądają jak hakerzy.”
Nawet eksperci od bezpieczeństwa w sieci przyznają, że sytuacja jest niepokojąca. Badaczka Tay przyznała, że początkowo spodziewała się typowego scam rekrutera, ale skala operacji była znacznie bardziej alarmująca.
Jak doszło do przejęcia urządzeń
Drift wskazał trzy prawdopodobne wektory ataku:
- Jeden z członków zespołu sklonował repozytorium kodu udostępnione przez tę grupę dla frontend skarbca.
- Drugi pobrał aplikację TestFlight przedstawioną jako produkt portfela.
- Dla tego wektora Drift wskazał znaną lukę w VSCode i Cursor, którą badacze bezpieczeństwa zgłaszali już pod koniec 2025.
Ta luka pozwalała na ciche uruchomienie dowolnego kodu natychmiast po otwarciu pliku lub folderu w edytorze, bez wymaganego działania użytkownika.
Po kradzieży środków 1 kwietnia napastnicy wyczyścili wszystkie czaty na Telegramie i złośliwe oprogramowanie. Drift zamroził więc pozostałe funkcje protokołu i usunął zainfekowane portfele z multisiga.
Zespół SEALS 911 ocenił z umiarkowanie wysokim prawdopodobieństwem, że ci sami sprawcy przeprowadzili atak na Radiant Capital w październiku 2024, który Mandiant przypisał grupie UNC4736.
Przepływy środków w łańcuchu i podobieństwa operacyjne między obiema kampaniami potwierdzają to powiązanie.
Branża wzywa do zresetowania bezpieczeństwa
Armani Ferrante, znany deweloper Solana, zaapelował do każdej ekipy krypto o wstrzymanie priorytetu wzrostu i dokładny audyt bezpieczeństwa.
„Każda ekipa krypto powinna potraktować to jako szansę na zwolnienie tempa i skupienie się na bezpieczeństwie. Jeśli to możliwe, oddelegujcie do tego cały zespół… nie rozwiniesz się, jeśli zostaniesz zhakowany.”
Drift zauważył, że osoby pojawiające się osobiście nie były obywatelami Korei Północnej. Hakerzy z KRLD na tym poziomie często korzystają z pośredników do kontaktów na żywo.
Mandiant, z którym Drift współpracuje w zakresie badań urządzeń, nie przypisał jeszcze oficjalnie tego ataku.
Ujawnienie pełni rolę ostrzeżenia dla branży. Drift namawia ekipy do audytu kontroli dostępu, traktowania każdego urządzenia korzystającego z multisiga jako potencjalnego celu oraz kontaktu z SEAL 911 w przypadku podejrzenia podobnych działań.
