Αυτό που αρχικά φάνηκε ως μια ξαφνική εκμετάλλευση έχει πλέον αποκαλυφθεί ως μια μακροπρόθεσμη, εξαιρετικά συντονισμένη επιχείρηση. Το Drift Protocol αποκάλυψε ότι το hack των $270 εκατομμυρίων ήταν αποτέλεσμα μιας εξάμηνης εκστρατείας διείσδυσης, φερόμενη ως συνδεδεμένη με κρατικούς φορείς της Βόρειας Κορέας.
Αντί να εκμεταλλευτούν μια απλή ευπάθεια, οι επιτιθέμενοι οικοδόμησαν αργά την εμπιστοσύνη, παριστάνοντας μια νόμιμη εταιρεία ποσοτικής διαπραγμάτευσης και ενσωματώνοντας τον εαυτό τους εντός του οικοσυστήματος. Η προσέγγισή τους πήγε πέρα από την ψηφιακή εξαπάτηση. Επικοινώνησαν απευθείας με συνεισφέροντες, παρευρέθηκαν σε συνέδρια κρυπτονομισμάτων και δημιούργησαν σχέσεις που φαίνονταν αξιόπιστες σε κάθε επίπεδο.
Αυτή δεν ήταν μια επίθεση τύπου smash-and-grab. Ήταν υπολογισμένη, υπομονετική και σχεδιασμένη να παρακάμψει όχι μόνο τις τεχνικές άμυνες αλλά και την ανθρώπινη εμπιστοσύνη.
Η Πρώτη Επαφή Ξεκινά Σε Συνέδρια Κρυπτονομισμάτων
Η επιχείρηση φέρεται να ξεκίνησε το φθινόπωρο του 2025, όταν οι επιτιθέμενοι έκαναν την πρώτη επαφή σε ένα μεγάλο συνέδριο κρυπτονομισμάτων. Εκείνη τη στιγμή, δεν υπήρχαν άμεσες κόκκινες σημαίες. Η ομάδα παρουσίασε τον εαυτό της ως τεχνικά ικανοί επαγγελματίες με επαληθεύσιμο υπόβαθρο.
Μιλούσαν τη γλώσσα του DeFi με ευχέρεια, επιδεικνύοντας βαθιά κατανόηση της υποδομής και των μηχανισμών συναλλαγών του Drift. Αυτό το επίπεδο εξειδίκευσης τους βοήθησε να αναμειχθούν απρόσκοπτα με νόμιμους συνεισφέροντες και συνεργάτες.
Λίγο αργότερα, η επικοινωνία μεταφέρθηκε στο Telegram, όπου οι συζητήσεις συνεχίστηκαν για αρκετούς μήνες. Αυτές οι αλληλεπιδράσεις δεν ήταν βιαστικές ή ύποπτες. Αντίθετα, αντανακλούσαν τον ρυθμό της πραγματικής συνεργασίας, συμπεριλαμβανομένων τεχνικών συζητήσεων, στρατηγικής συμβολής και συνεχούς συμμετοχής.
Διατηρώντας συνέπεια και αξιοπιστία, οι επιτιθέμενοι οικοδόμησαν σταδιακά την εμπιστοσύνη εντός της κοινότητας.
Οικοδόμηση Εμπιστοσύνης Μέσω Κεφαλαίου Και Συνεργασίας
Μέχρι τον Ιανουάριο του 2026, η ομάδα είχε προχωρήσει ακόμη περισσότερο την εμπλοκή της. Ενσωμάτωσαν επιτυχώς ένα Ecosystem Vault και άρχισαν να συμμετέχουν σε συνεδρίες εργασίας μαζί με συνεισφέροντες του Drift.
Κρίσιμα, δεσμεύτηκαν επίσης με πραγματικό κεφάλαιο, καταθέτοντας πάνω από $1 εκατομμύριο των δικών τους κεφαλαίων στο πρωτόκολλο. Αυτή η κίνηση ενίσχυσε τη νομιμότητά τους, σηματοδοτώντας ότι είχαν προσωπικό συμφέρον στο παιχνίδι.
Καθ' όλη τη διάρκεια του Φεβρουαρίου και του Μαρτίου, μέλη του οικοσυστήματος Drift συνάντησαν αυτά τα άτομα προσωπικά σε πολλές χώρες. Αυτές οι αλληλεπιδράσεις πρόσωπο με πρόσωπο πρόσθεσαν ένα επιπλέον επίπεδο εμπιστοσύνης, καθιστώντας ακόμη λιγότερο πιθανό να αμφισβητηθούν οι προθέσεις τους.
Μέχρι τη στιγμή που εκτελέστηκε η επίθεση, η σχέση μεταξύ των επιτιθέμενων και της κοινότητας είχε εδραιωθεί για σχεδόν έξι μήνες. Ήταν ένα επίπεδο διείσδυσης που σπάνια παρατηρείται σε εκμεταλλεύσεις DeFi.
Η Εκτέλεση Της Επίθεσης Αξιοποίησε Εξελιγμένα Σημεία Εισόδου
Όταν τελικά συνέβη ο συμβιβασμός, προήλθε μέσω δύο εξαιρετικά στοχευμένων διανυσμάτων.
Το πρώτο περιλάμβανε μια κακόβουλη εφαρμογή TestFlight, παρουσιασμένη ως νόμιμο προϊόν πορτοφολιού. Αυτό επέτρεψε στους επιτιθέμενους να αποκτήσουν πρόσβαση σε συσκευές συνεισφερόντων υπό το πρόσχημα της δοκιμής νέων εργαλείων.
Το δεύτερο διάνυσμα εκμεταλλεύτηκε μια γνωστή ευπάθεια σε περιβάλλοντα ανάπτυξης όπως το VSCode και το Cursor. Αυτό το ελάττωμα, που επισημάνθηκε από την κοινότητα ασφαλείας μήνες νωρίτερα, επέτρεψε την εκτέλεση αυθαίρετου κώδικα απλώς με το άνοιγμα ενός αρχείου.
Μαζί, αυτές οι μέθοδοι επέτρεψαν στους επιτιθέμενους να συμβιβάσουν βασικές συσκευές χωρίς να προκαλέσουν άμεση υποψία. Μόλις μπήκαν μέσα, μπόρεσαν να αποκτήσουν πρόσβαση σε ευαίσθητες ροές εργασίας και μηχανισμούς έγκρισης.
Αυτό το στάδιο της επιχείρησης επισημαίνει μια κρίσιμη μετατόπιση στις στρατηγικές επίθεσης. Αντί να στοχεύουν απευθείας έξυπνα συμβόλαια, οι επιτιθέμενοι επικεντρώνονται όλο και περισσότερο στα ανθρώπινα επίπεδα και τα εργαλεία που τα περιβάλλουν.
Αδυναμίες Multisig Αποκαλύφθηκαν Στην Τελική Αποστράγγιση
Με την πρόσβαση εξασφαλισμένη, οι επιτιθέμενοι προχώρησαν στην τελική φάση: εκτέλεση.
Απέκτησαν δύο εγκρίσεις multisig, οι οποίες στη συνέχεια χρησιμοποιήθηκαν για την εξουσιοδότηση συναλλαγών. Αξιοσημείωτα, αυτές οι συναλλαγές ήταν προ-υπογεγραμμένες και άφησαν ανενεργές για πάνω από μια εβδομάδα, αποφεύγοντας την άμεση ανίχνευση.
Την 1η Απριλίου, οι επιτιθέμενοι ενήργησαν. Σε λιγότερο από ένα λεπτό, περίπου $270 εκατομμύρια αποστραγγίστηκαν από τα θησαυροφυλάκια του Drift.
Η ταχύτητα και η ακρίβεια της εκτέλεσης άφησαν λίγο περιθώριο για παρέμβαση. Μέχρι τη στιγμή που οι συναλλαγές αναγνωρίστηκαν, τα κεφάλαια είχαν ήδη μετακινηθεί.
Το Drift έχει προειδοποιήσει έκτοτε ότι αυτό το περιστατικό εκθέτει θεμελιώδεις αδυναμίες στα μοντέλα ασφαλείας που βασίζονται σε multisig. Ενώ τα συστήματα multisig είναι σχεδιασμένα για να κατανέμουν την εμπιστοσύνη, παραμένουν ευάλωτα όταν οι ίδιοι οι υπογράφοντες συμβιβάζονται.
Συνδέσεις Με Κρατικούς Φορείς Της Βόρειας Κορέας Αναδύονται
Οι έρευνες για την επίθεση έχουν συνδέσει την επιχείρηση με το UNC4736, μια ομάδα επίσης γνωστή ως AppleJeus ή Citrine Sleet. Αυτή η οντότητα συνδέεται ευρέως με κυβερνοεπιχειρήσεις της Βόρειας Κορέας και έχει συνδεθεί με προηγούμενες εκμεταλλεύσεις υψηλού προφίλ, συμπεριλαμβανομένης της επίθεσης Radiant Capital.
Ενδιαφέρον είναι ότι τα άτομα που αλληλεπίδρασαν απευθείας με συνεισφέροντες του Drift δεν αναγνωρίστηκαν ως υπήκοοι της Βόρειας Κορέας. Αντίθετα, φαίνεται να ήταν μεσάζοντες τρίτων μερών, εξοπλισμένοι με προσεκτικά κατασκευασμένες ταυτότητες σχεδιασμένες να αντέξουν σε έλεγχο.
Αυτή η πολυεπίπεδη προσέγγιση καθιστά την απόδοση πιο περίπλοκη ενώ αυξάνει την αποτελεσματικότητα της επιχείρησης. Διαχωρίζοντας τους επιτόπιους δράστες από την συντονιστική οντότητα, οι επιτιθέμενοι μπόρεσαν να διατηρήσουν πιθανή νομιμότητα καθ' όλη τη διάρκεια της διείσδυσης.
Ένα Ξυπνητήρι Για Τα Μοντέλα Ασφαλείας DeFi
Η εκμετάλλευση του Drift αναγκάζει τη βιομηχανία να αντιμετωπίσει μια δυσάρεστη πραγματικότητα. Τα παραδοσιακά μοντέλα ασφαλείας, επικεντρωμένα σε ελέγχους κώδικα, ευπάθειες έξυπνων συμβολαίων και προστασίες multisig, μπορεί να μην επαρκούν για να αμυνθούν ενάντια σε αντιπάλους που είναι πρόθυμοι να επενδύσουν χρόνο, χρήμα και ανθρώπινους πόρους.
Εάν οι επιτιθέμενοι μπορούν να περάσουν έξι μήνες οικοδομώντας σχέσεις, να αναπτύξουν κεφάλαιο για να κερδίσουν εμπιστοσύνη και να συναντήσουν φυσικά ομάδες, η επιφάνεια επίθεσης εκτείνεται πολύ πέρα από τον κώδικα.
Αυτό θέτει ένα κρίσιμο ερώτημα για το οικοσύστημα DeFi: τι είδους πλαίσιο ασφαλείας μπορεί να ανιχνεύσει και να αποτρέψει αυτό το επίπεδο διείσδυσης;
Προς το παρόν, το περιστατικό στέκεται ως μία από τις πιο εξελιγμένες εκμεταλλεύσεις κοινωνικής μηχανικής στην ιστορία των κρυπτονομισμάτων. Υπογραμμίζει την ανάγκη για μια πιο ολιστική προσέγγιση στην ασφάλεια, μια που να λαμβάνει υπόψη την ανθρώπινη συμπεριφορά, τις επιχειρησιακές διαδικασίες και τις όλο και πιο θολές γραμμές μεταξύ διαδικτυακών και εκτός διαδικτύου αλληλεπιδράσεων.
Καθώς τα πρωτόκολλα συνεχίζουν να αναπτύσσονται και να προσελκύουν περισσότερο κεφάλαιο, τα διακυβεύματα θα αυξάνονται μόνο. Και όπως δείχνει αυτή η περίπτωση, η επόμενη γενιά επιθέσεων μπορεί να μην προέρχεται από ανώνυμα πορτοφόλια, αλλά από αξιόπιστους συνεργάτες που κάθονται απέναντι στο τραπέζι.
Αποποίηση ευθυνών: Αυτό δεν είναι συμβουλή συναλλαγών ή επενδύσεων. Κάντε πάντα τη δική σας έρευνα πριν αγοράσετε οποιοδήποτε κρυπτονόμισμα ή επενδύσετε σε οποιεσδήποτε υπηρεσίες.
Ακολουθήστε μας στο Twitter @nulltxnews για να παραμένετε ενημερωμένοι με τα τελευταία νέα για Crypto, NFT, AI, Cybersecurity, Distributed Computing και Metaverse!
Πηγή: https://nulltx.com/north-korea-linked-group-behind-270m-drift-hack-six-month-plot-revealed/
