Drift Protocol mengungkapkan detail tentang eksploitasi 1 April 2026, menguraikan serangan terkoordinasi yang dibangun selama enam bulan. Bursa terdesentralisasi tersebut mengatakan pelanggaran terjadi setelah pertemuan tatap muka, keterlibatan teknis, dan distribusi perangkat lunak berbahaya. Insiden yang terjadi pada 1 April melibatkan kontributor yang disusupi dan mengakibatkan kerugian diperkirakan mendekati $280 juta.
Drift Protocol Melacak Rekayasa Sosial Jangka Panjang
Dalam sebuah artikel X, Drift Protocol mengatakan serangan dimulai sekitar Oktober 2025 di konferensi kripto besar. Menurut Drift Protocol, individu yang menyamar sebagai perusahaan perdagangan kuantitatif mendekati kontributor yang mencari integrasi.
Namun, interaksi tidak berhenti di situ. Kelompok tersebut terus melibatkan kontributor di berbagai konferensi industri global selama enam bulan. Mereka menyajikan latar belakang profesional yang terverifikasi dan menunjukkan kefasihan teknis selama pertemuan tatap muka berulang.
Selain itu, mereka membentuk grup Telegram setelah kontak awal. Seiring waktu, mereka membahas strategi perdagangan dan potensi integrasi vault dengan kontributor. Diskusi ini mengikuti pola orientasi standar untuk perusahaan perdagangan yang berinteraksi dengan Drift Protocol.
Dari Desember 2025 hingga Januari 2026, kelompok tersebut memasukkan vault ekosistem. Mereka menyerahkan detail strategi dan menyetor lebih dari $1 juta ke dalam protokol. Sementara itu, mereka mengadakan sesi kerja dan mengajukan pertanyaan produk yang detail.
Kompromi Terkait dengan Alat Bersama dan Akses Perangkat
Saat pembicaraan integrasi berlanjut ke Februari dan Maret 2026, kepercayaan semakin dalam. Kontributor bertemu kelompok tersebut lagi di acara industri, memperkuat hubungan yang ada. Namun, Drift Protocol kemudian mengidentifikasi interaksi ini sebagai vektor intrusi yang mungkin.
Menurut Drift Protocol, penyerang berbagi repositori dan aplikasi berbahaya selama kolaborasi. Ini kontras sepenuhnya dengan kritikan ZachXBT terhadap Circle atas penundaan eksploitasi $280 juta. Satu kontributor dilaporkan mengkloning repositori kode yang disajikan sebagai alat deployment frontend.
Sumber: Arkham
Kontributor lain mengunduh aplikasi TestFlight yang dijelaskan sebagai produk dompet. Tindakan ini berpotensi membuat perangkat terpapar kompromi. Untuk vektor repositori, Drift Protocol menunjuk kerentanan yang diketahui di VSCode dan Cursor.
Selama Desember 2025 hingga Februari 2026, membuka file dapat menyebabkan eksekusi kode senyap tanpa peringatan. Setelah eksploitasi, Drift Protocol melakukan tinjauan forensik di seluruh perangkat dan akun yang terpengaruh. Khususnya, saluran komunikasi penyerang dan malware dihapus segera setelah eksekusi.
Atribusi dan Upaya Investigasi Berkelanjutan
Drift Protocol mengatakan membekukan semua fungsi protokol setelah mendeteksi eksploitasi. Mereka juga menghapus dompet yang disusupi dari struktur multisig dan menandai dompet penyerang di seluruh bursa dan bridge. Perusahaan melibatkan Mandiant untuk mendukung investigasi. Sementara itu, SEALs 911 menyumbangkan analisis yang menunjuk ke kelompok ancaman yang dikenal.
Dengan kepercayaan menengah-tinggi, bursa terdesentralisasi tersebut mengaitkan serangan dengan aktor di balik peretasan Radiant Capital Oktober 2024. Operasi tersebut sebelumnya dikaitkan dengan UNC4736, juga dikenal sebagai AppleJeus atau Citrine Sleet.
Drift Protocol mengklarifikasi bahwa individu yang terlibat dalam pertemuan tatap muka bukan warga negara Korea Utara. Sebaliknya, mereka mencatat bahwa operasi semacam itu sering menggunakan perantara pihak ketiga untuk keterlibatan tatap muka.
Menurut ZachXBT, aktivitas tersebut mencerminkan operasi siber terkait DPRK yang dikenal sering dikelompokkan di bawah payung Lazarus. Dia menjelaskan bahwa Lazarus mengacu pada kumpulan unit peretasan, sementara DPRK menunjukkan afiliasi negara di balik operasi tersebut. Dia mencatat bahwa kelompok semacam itu menggunakan identitas berlapis, perantara, dan pembangunan akses jangka panjang sebelum melaksanakan serangan.
Sumber: ZachXBT
ZachXBT menambahkan bahwa aliran dana on-chain yang terkait dengan eksploitasi menunjukkan tumpang tindih dengan dompet yang terkait dengan insiden terkait DPRK sebelumnya, termasuk Radiant Capital. Dia juga menyoroti kesamaan operasional, termasuk interaksi bertahap, pengiriman malware melalui saluran tepercaya, dan pembersihan cepat setelah eksekusi.
Drift Protocol menekankan bahwa semua penandatangan multi-sig menggunakan cold wallet selama insiden. Mereka terus bekerja dengan penegak hukum dan mitra forensik untuk menyelesaikan investigasi.
Sumber: https://coingape.com/drift-hack-update-protocol-shares-latest-security-update-on-april-1-exploit/
