Η επίθεση 285 εκατομμυρίων δολαρίων της Drift Protocol ολοκληρώθηκε σε έξι μήνες, κατηγορείται η βορειοκορεατική ομάδα

Η 1η Απριλίου 2026 εκμεταλλεύονται of σολάριουμπου βασίζεται στο Drift Protocol, το οποίο απέσυρε περίπου 285 εκατομμύρια δολάρια από την πλατφόρμα, δεν ήταν αυθόρμητη επίθεση. Σύμφωνα με τις προκαταρκτικές εκτιμήσεις του Drift έρευνα, ήταν το αποτέλεσμα μιας δομημένης επιχείρησης πληροφοριών που ξεκίνησε τουλάχιστον έξι μήνες νωρίτερα, η οποία αποδόθηκε με μέτρια-υψηλή εμπιστοσύνη στην UNC4736, μια ομάδα απειλών που συνδέεται με το βορειοκορεατικό κράτος και παρακολουθείται επίσης ως AppleJeus ή Citrine Sleet.

Πώς ξεκίνησε στην πραγματικότητα το Drift Protocol Hack;

Σύμφωνα με την ομάδα του Drift Protocol, η επιχείρηση ξεκίνησε σε ένα μεγάλο συνέδριο κρυπτονομισμάτων το φθινόπωρο του 2025, όπου άτομα που παρουσίαζαν ως εταιρεία ποσοτικών συναλλαγών προσέγγισαν τους συντελεστές του Drift. Αυτό που ακολούθησε δεν ήταν μια γρήγορη απόπειρα ηλεκτρονικού "ψαρέματος" (phishing). Ήταν μια σκόπιμη, μηνιαία εκστρατεία οικοδόμησης σχέσεων που διεξήχθη σε πολλαπλές συναντήσεις πρόσωπο με πρόσωπο, σε πολλαπλά συνέδρια του κλάδου, σε πολλές χώρες.

Η ομάδα ήταν τεχνικά άψογη, διέθετε επαληθεύσιμο επαγγελματικό υπόβαθρο και επέδειξε λεπτομερή εξοικείωση με τον τρόπο λειτουργίας του Drift. Δημιουργήθηκε μια ομάδα στο Telegram μετά την πρώτη συνάντηση και οι ουσιαστικές συζητήσεις σχετικά με τις στρατηγικές συναλλαγών και τις ενσωματώσεις θησαυροφυλακίων συνεχίστηκαν για μήνες. Η ομάδα του Drift σημείωσε ότι αυτές οι αλληλεπιδράσεις ήταν απολύτως σύμφωνες με τον τρόπο με τον οποίο οι νόμιμες εταιρείες συναλλαγών συνήθως ασχολούνται με το πρωτόκολλο.

Από τον Δεκέμβριο του 2025 έως τον Ιανουάριο του 2026, η ομάδα εντάχθηκε σε ένα Ecosystem Vault στο Drift. Αυτή η διαδικασία περιελάμβανε την υποβολή λεπτομερειών στρατηγικής μέσω μιας επίσημης φόρμας εισαγωγής, τη συμμετοχή σε πολλαπλές συνεδρίες εργασίας με τους συντελεστές του Drift και την κατάθεση άνω του 1 εκατομμυρίου δολαρίων από το δικό τους κεφάλαιο. Δημιούργησαν μια λειτουργική επιχειρησιακή παρουσία εντός του πρωτοκόλλου, σκόπιμα και υπομονετικά.

Οι Τελευταίοι Μήνες Πριν από την Εκμετάλλευση

Οι συζητήσεις για την ενσωμάτωση συνεχίστηκαν τον Φεβρουάριο και τον Μάρτιο του 2026. Οι συνεργάτες του Drift συνάντησαν ξανά άτομα από την ομάδα, αυτοπροσώπως, σε σημαντικές εκδηλώσεις του κλάδου. Μέχρι τον Απρίλιο, η σχέση είχε σχεδόν έξι μήνες. Δεν ήταν άγνωστοι. Ήταν άτομα με τα οποία η ομάδα του Drift είχε συνεργαστεί και είχε συναντηθεί πρόσωπο με πρόσωπο σε πολλές περιπτώσεις.

Καθ' όλη τη διάρκεια αυτής της περιόδου, η ομάδα κοινοποίησε συνδέσμους προς έργα, εργαλεία και εφαρμογές που ισχυριζόταν ότι δημιουργούσαν. Η κοινή χρήση τέτοιων πόρων αποτελεί συνήθη πρακτική στις σχέσεις μεταξύ εμπορικών εταιρειών, κάτι που ακριβώς την κατέστησε έναν αποτελεσματικό μηχανισμό υλοποίησης.

Ποιοι ήταν οι Τεχνικοί Φορείς Επίθεσης;

Μετά την επίθεση της 1ης Απριλίου, ο Drift διεξήγαγε μια εγκληματολογική αξιολόγηση των συσκευών, των λογαριασμών και του ιστορικού επικοινωνίας που επηρεάστηκαν. Οι συνομιλίες του Telegram και το κακόβουλο λογισμικό που χρησιμοποιήθηκε από την ομάδα είχαν καθαριστεί πλήρως τη στιγμή που έλαβε χώρα η επίθεση. Η έρευνα του Drift εντόπισε τρεις πιθανούς φορείς εισβολής:

• Ένας συνεργάτης ενδέχεται να έχει παραβιαστεί μετά την κλωνοποίηση ενός αποθετηρίου κώδικα που κοινοποίησε η ομάδα, το οποίο παρουσιάστηκε ως εργαλείο ανάπτυξης frontend για το θησαυροφυλάκιό τους.
• Ένας δεύτερος συνεργάτης παρακινήθηκε να κατεβάσει μια εφαρμογή TestFlight, την οποία η ομάδα περιέγραψε ως το προϊόν πορτοφολιού της. Το TestFlight είναι η πλατφόρμα της Apple για τη διανομή beta εκδόσεων εφαρμογών iOS πριν από την κυκλοφορία τους στο κοινό.
• Για το διάνυσμα που βασίζεται σε αποθετήριο, ο πιθανός μηχανισμός ήταν μια γνωστή ευπάθεια στους επεξεργαστές κώδικα VSCode και Cursor, την οποία οι ερευνητές ασφαλείας επισήμαναν ενεργά μεταξύ Δεκεμβρίου 2025 και Φεβρουαρίου 2026. Το άνοιγμα ενός αρχείου, φακέλου ή αποθετηρίου στον επηρεαζόμενο επεξεργαστή ήταν αρκετό για την σιωπηλή εκτέλεση αυθαίρετου κώδικα, χωρίς καμία προτροπή, προειδοποίηση, παράθυρο διαλόγου δικαιωμάτων ή οποιαδήποτε ορατή ένδειξη στον χρήστη.

Η πλήρης εγκληματολογική ανάλυση του επηρεαζόμενου υλικού βρισκόταν ακόμη σε εξέλιξη κατά τη στιγμή της δημοσίευσης.

Πόσο γρήγορα εκτελέστηκε η επίθεση;

Η εγκατάσταση μπορεί να χρειάστηκε έξι μήνες, αλλά η εκτέλεση ήταν γρήγορη. Μόλις κατασχέθηκε ο διαχειριστικός έλεγχος του πρωτοκόλλου, τα πραγματικά κεφάλαια των χρηστών εξαντλήθηκαν σε λιγότερο από 12 λεπτά. Η συνολική κλειδωμένη αξία (TVL) του Drift μειώθηκε από περίπου 550 εκατομμύρια δολάρια σε λιγότερο από 300 εκατομμύρια δολάρια σε λιγότερο από μία ώρα. Το διακριτικό DRIFT μειώθηκε κατά περισσότερο από 40% κατά τη διάρκεια του περιστατικού. Η εταιρεία ασφαλείας PeckShield επιβεβαίωσε ότι η συνολική απώλεια ξεπέρασε τα 285 εκατομμύρια δολάρια, αντιπροσωπεύοντας περισσότερο από το 50% της TVL του πρωτοκόλλου εκείνη την εποχή.

Η ομάδα του Drift δημοσίευσε στο X κατά τη διάρκεια του χάους για να διευκρινίσει αν η κατάσταση ήταν ειλικρινής, γράφοντας: «Δεν πρόκειται για πρωταπριλιάτικο αστείο. Προχωρήστε με προσοχή μέχρι νεωτέρας». Όλες οι καταθέσεις και οι αναλήψεις ανεστάλησαν καθώς ξεκίνησε η έρευνα.

Ανακαλύψτε πολλά υποσχόμενα έργα...

Πολλά υποσχόμενα έργα...

(Διαφήμιση)

Το άρθρο συνεχίζεται...

Πού πήγαν τα 285 εκατομμύρια δολάρια;

Ο εισβολέας κινήθηκε γρήγορα για να αποκρύψει την πορεία των κεφαλαίων μετά την εκμετάλλευση. Τα κλεμμένα περιουσιακά στοιχεία μετατράπηκαν σε USDC και SOL και στη συνέχεια γεφυρώθηκαν από το Solana στο Ethereum χρησιμοποιώντας το Πρωτόκολλο Μεταφοράς Διασταυρούμενης Αλυσίδας (CCTP) της Circle. Το CCTP είναι η εγγενής υποδομή γεφύρωσης της Circle που επιτρέπει στο USDC να μετακινείται σε διαφορετικά blockchains χωρίς αναδίπλωση. Στο Ethereum, τα κεφάλαια μετατράπηκαν σε ETH. Η παρακολούθηση στην αλυσίδα επιβεβαίωσε ότι ο εισβολέας τελικά συσσώρευσε 129,066 ETH, αξίας περίπου 273 εκατομμυρίων δολαρίων εκείνη την εποχή.

Ο εισβολέας κατέθεσε επίσης SOL τόσο στο HyperLiquid όσο και στο Binance, εξαπλώνοντας τη δραστηριότητα σε πολλαπλές πλατφόρμες περιπλέκοντας τις προσπάθειες εντοπισμού.

Απάντησε ο Circle αρκετά γρήγορα;

Ο ερευνητής on-chain, ZachXBT, επέκρινε δημόσια την Circle μετά την εκμετάλλευση, επισημαίνοντας ότι μεγάλα ποσά κλεμμένων USDC γεφυρώθηκαν από το Solana στο Ethereum κατά τις εργάσιμες ώρες των ΗΠΑ χωρίς να παγώσουν. Ο ZachXBT αντιπαρέβαλε αυτό το γεγονός με την πρόσφατη απόφαση της Circle να παγώσει 16 άσχετα εταιρικά hot wallets σε μια σφραγισμένη αστική υπόθεση των ΗΠΑ, υποστηρίζοντας ότι η Circle είχε τόσο την τεχνική ικανότητα όσο και ένα σαφές προηγούμενο για να παρέμβει, αλλά δεν ενήργησε αρκετά γρήγορα για να περιορίσει τη ζημιά.

Ποιος βρίσκεται πίσω από την επίθεση;

Με μέτρια-υψηλή εμπιστοσύνη και υποστηριζόμενη από έρευνες που διεξήγαγε η ομάδα SEALS 911, η έρευνα του Drift αποδίδει την επιχείρηση στους ίδιους απειλητικούς παράγοντες που ήταν υπεύθυνοι για την παραβίαση της Radiant Capital τον Οκτώβριο του 2024. Η επίθεση αυτή αποδόθηκε επίσημα από την Mandiant στην UNC4736, μια ομάδα που συνδέεται με το βορειοκορεατικό κράτος.

Η βάση για αυτήν τη σύνδεση είναι τόσο on-chain όσο και λειτουργική. Οι ροές κεφαλαίων που χρησιμοποιούνται για τη σκηνοθεσία και τον έλεγχο της επιχείρησης Drift εντοπίζονται σε πορτοφόλια που συνδέονται με τους επιτιθέμενους Radiant. Επιπλέον, τα personas που αναπτύχθηκαν σε όλη την καμπάνια Drift έχουν αναγνωρίσιμες επικαλύψεις με γνωστά μοτίβα δραστηριότητας που συνδέονται με τη ΛΔΚ.

Μια σημαντική διευκρίνιση από την ομάδα του Drift: τα άτομα που εμφανίστηκαν αυτοπροσώπως σε συνέδρια δεν ήταν υπήκοοι της Βόρειας Κορέας. Σε αυτό το επίπεδο λειτουργίας, οι απειλητικοί παράγοντες που συνδέονται με τη ΛΔΚ είναι γνωστό ότι αναπτύσσουν τρίτους μεσάζοντες για να χειρίζονται την οικοδόμηση σχέσεων πρόσωπο με πρόσωπο, κρατώντας τους πραγματικούς πράκτορες σε απόσταση.

Η Mandiant έχει εμπλακεί επίσημα στην έρευνα, αλλά δεν έχει ακόμη εκδώσει επίσημη αναφορά για την εκμετάλλευση του Drift. Αυτή η διαπίστωση απαιτεί ολοκληρωμένη εγκληματολογία συσκευών, η οποία βρίσκεται σε εξέλιξη.

Τρέχοντα μέτρα αντιμετώπισης

Από τη δημοσίευση, η Drift έχει λάβει τα ακόλουθα μέτρα:

• Όλες οι υπόλοιπες λειτουργίες πρωτοκόλλου έχουν παγώσει
• Τα παραβιασμένα πορτοφόλια έχουν αφαιρεθεί από το multisig
• Τα πορτοφόλια εισβολέων έχουν επισημανθεί σε ανταλλακτήρια και φορείς εκμετάλλευσης γεφυρών
• Η Mandiant έχει αναλάβει ως ο κύριος συνεργάτης της εγκληματολογικής έρευνας.

Η Drift δήλωσε ότι κοινοποιεί αυτές τις λεπτομέρειες δημόσια, ώστε οι άλλες ομάδες στο οικοσύστημα να μπορούν να κατανοήσουν πώς μοιάζει στην πραγματικότητα αυτό το είδος επίθεσης και να λάβουν μέτρα για να προστατευτούν ανάλογα.

Συμπέρασμα

Το hacking στο Drift Protocol δεν αφορά μια ιστορία για ένα κενό ασφαλείας κώδικα που ξέφυγε από έναν έλεγχο. Είναι μια ιστορία για μια διαρκή ανθρώπινη εξαπάτηση. Οι επιτιθέμενοι αφιέρωσαν έξι μήνες χτίζοντας αξιοπιστία μέσω συναντήσεων με φυσική παρουσία, μιας λειτουργικής ενσωμάτωσης σε θησαυροφυλάκιο και πάνω από 1 εκατομμύριο δολάρια από το δικό τους κατατεθειμένο κεφάλαιο, προτού εκτελέσουν μια 12λεπτη απώλεια 285 εκατομμυρίων δολαρίων.

 Τα τεχνικά διανύσματα, ένα αποθετήριο κακόβουλου κώδικα και μια ψεύτικη εφαρμογή TestFlight, ήταν αποτελεσματικά ακριβώς επειδή η εμπιστοσύνη που απαιτούνταν για το άνοιγμά τους είχε ήδη κατασκευαστεί προσεκτικά. 

Για τα πρωτόκολλα DeFi, το μάθημα είναι άμεσο: η επιφάνεια επίθεσης δεν περιορίζεται στα έξυπνα συμβόλαια. Περιλαμβάνει κάθε συσκευή που συνεισφέρει, κάθε αποθετήριο τρίτου μέρους και κάθε σχέση που δημιουργείται σε ένα συνέδριο του κλάδου. Το UNC4736 το έχει πλέον επιδείξει αυτό δύο φορές, πρώτα στο Radiant Capital τον Οκτώβριο του 2024 και ξανά στο Drift τον Απρίλιο του 2026, με την ίδια υπομονετική, υποστηριζόμενη από πόρους προσέγγιση κάθε φορά.

Υποστηρικτικό υλικό

1. Πρωτόκολλο Drift στο X: Δημοσίευση την 5η Μαρτίου

2. PeckShield στο X: Αναρτήσεις (1-2 Απριλίου)

3. Lookonchain στο X: Αναρτήσεις (1-2 Απριλίου)