Drift Protocol เปิดเผยรายละเอียดเกี่ยวกับการโจมตีเมื่อวันที่ 1 เมษายน 2026 โดยระบุว่าเป็นการโจมตีที่มีการประสานงานกันมากว่า 6 เดือน ตลาดแลกเปลี่ยนแบบกระจายอำนาจกล่าวว่าการโจมตีเกิดขึ้นหลังจากการพบปะกันแบบตัวต่อตัว การมีส่วนร่วมทางเทคนิค และการแจกจ่ายซอฟต์แวร์ที่เป็นอันตราย เหตุการณ์ที่เกิดขึ้นเมื่อวันที่ 1 เมษายนเกี่ยวข้องกับผู้มีส่วนร่วมที่ถูกบุกรุกและส่งผลให้เกิดความสูญเสียประมาณ 280 ล้านดอลลาร์
Drift Protocol ติดตามการโจมตีทางสังคมระยะยาว
ในบทความบน X Drift Protocol กล่าวว่าการโจมตีเริ่มต้นประมาณเดือนตุลาคม 2025 ที่การประชุมคริปโตครั้งใหญ่ ตาม Drift Protocol บุคคลที่แสดงตนเป็นบริษัทเทรดเชิงปริมาณได้เข้าหาผู้มีส่วนร่วมเพื่อหาการบูรณาการ
อย่างไรก็ตาม การติดต่อไม่ได้หยุดเพียงแค่นั้น กลุ่มดังกล่าวยังคงมีส่วนร่วมกับผู้มีส่วนร่วมในหลายการประชุมอุตสาหกรรมทั่วโลกเป็นเวลา 6 เดือน พวกเขานำเสนอประวัติอาชีพที่ได้รับการตรวจสอบแล้วและแสดงความเชี่ยวชาญทางเทคนิคในระหว่างการประชุมแบบตัวต่อตัวหลายครั้ง
นอกจากนี้ พวกเขาได้สร้างกลุ่ม Telegram หลังจากการติดต่อครั้งแรก เมื่อเวลาผ่านไป พวกเขาได้พูดคุยเกี่ยวกับกลยุทธ์การเทรดและการบูรณาการ vault ที่เป็นไปได้กับผู้มีส่วนร่วม การอภิปรายเหล่านี้เป็นไปตามรูปแบบมาตรฐานสำหรับบริษัทเทรดที่โต้ตอบกับ Drift Protocol
ตั้งแต่เดือนธันวาคม 2025 ถึงมกราคม 2026 กลุ่มดังกล่าวได้เริ่มใช้งาน ecosystem vault พวกเขาส่งรายละเอียดกลยุทธ์และฝากเงินมากกว่า 1 ล้านดอลลาร์เข้าสู่โปรโตคอล ในขณะเดียวกัน พวกเขาได้จัดเซสชันการทำงานและถามคำถามเกี่ยวกับผลิตภัณฑ์อย่างละเอียด
การบุกรุกเชื่อมโยงกับเครื่องมือที่แชร์และการเข้าถึงอุปกรณ์
เมื่อการพูดคุยเกี่ยวกับการบูรณาการดำเนินไปจนถึงเดือนกุมภาพันธ์และมีนาคม 2026 ความไว้วางใจก็เพิ่มขึ้น ผู้มีส่วนร่วมได้พบกลุ่มดังกล่าวอีกครั้งในงานอุตสาหกรรม ทำให้ความสัมพันธ์ที่มีอยู่แน่นแฟ้นขึ้น อย่างไรก็ตาม ต่อมา Drift Protocol ระบุว่าการโต้ตอบเหล่านี้คือช่องทางการบุกรุกที่เป็นไปได้
ตาม Drift Protocol ผู้โจมตีได้แชร์ repositories และแอปพลิเคชันที่เป็นอันตรายในระหว่างการทำงานร่วมกัน สิ่งนี้ตรงกันข้ามอย่างสิ้นเชิงกับการวิพากษ์วิจารณ์ของ ZachXBT ต่อ Circle เกี่ยวกับความล่าช้าในการโจมตี 280 ล้านดอลลาร์ มีรายงานว่าผู้มีส่วนร่วมคนหนึ่งได้โคลน code repository ที่นำเสนอเป็นเครื่องมือ deployment frontend
ที่มา: Arkham
ผู้มีส่วนร่วมอีกคนดาวน์โหลดแอปพลิเคชัน TestFlight ที่อธิบายว่าเป็นผลิตภัณฑ์กระเป๋าเงินดิจิทัล การกระทำเหล่านี้อาจทำให้อุปกรณ์ตกอยู่ในความเสี่ยงต่อการบุกรุก สำหรับช่องทาง repository Drift Protocol ชี้ไปที่ช่องโหว่ที่รู้จักกันดีใน VSCode และ Cursor
ในระหว่างเดือนธันวาคม 2025 ถึงกุมภาพันธ์ 2026 การเปิดไฟล์อาจนำไปสู่การรันโค้ดแบบเงียบโดยไม่มีคำเตือน หลังจากการโจมตี Drift Protocol ได้ทำการตรวจสอบทางนิติวิทยาศาสตร์ในอุปกรณ์และบัญชีที่ได้รับผลกระทบทั้งหมด น่าสังเกตว่าช่องทางการสื่อสารของผู้โจมตีและมัลแวร์ถูกลบทิ้งทันทีหลังจากการโจมตี
การระบุตัวตนและความพยายามในการสอบสวนอย่างต่อเนื่อง
Drift Protocol กล่าวว่าได้หยุดฟังก์ชันโปรโตคอลทั้งหมดหลังจากตรวจพบการโจมตี นอกจากนี้ยังลบกระเป๋าเงินที่ถูกบุกรุกออกจากโครงสร้าง multisig และทำการตั้งค่าสถานะกระเป๋าเงินของผู้โจมตีในตลาดแลกเปลี่ยนและบริดจ์ต่างๆ บริษัทได้ร่วมมือกับ Mandiant เพื่อสนับสนุนการสอบสวน ในขณะเดียวกัน SEALs 911 มีส่วนร่วมในการวิเคราะห์ที่ชี้ไปยังกลุ่มภัยคุกคามที่รู้จัก
ด้วยความเชื่อมั่นระดับปานกลาง-สูง ตลาดแลกเปลี่ยนแบบกระจายอำนาจเชื่อมโยงการโจมตีกับผู้ที่อยู่เบื้องหลังการแฮก Radiant Capital เมื่อเดือนตุลาคม 2024 การดำเนินการนั้นเคยถูกระบุว่าเป็นของ UNC4736 หรือที่รู้จักในชื่อ AppleJeus หรือ Citrine Sleet
Drift Protocol ชี้แจงว่าบุคคลที่เกี่ยวข้องในการประชุมแบบตัวต่อตัวไม่ใช่พลเมืองเกาหลีเหนือ แต่กล่าวว่าการดำเนินการดังกล่าวมักใช้ตัวกลางบุคคลที่สามในการพบปะกันแบบตัวต่อตัว
ตาม ZachXBT กิจกรรมดังกล่าวสะท้อนถึงการดำเนินงานทางไซเบอร์ที่เชื่อมโยงกับ DPRK ซึ่งมักถูกจัดกลุ่มภายใต้ Lazarus เขาอธิบายว่า Lazarus หมายถึงกลุ่มของหน่วยแฮ็กกิ้ง ในขณะที่ DPRK บอกถึงความเชื่อมโยงกับรัฐที่อยู่เบื้องหลังการดำเนินการเหล่านั้น เขาสังเกตว่ากลุ่มดังกล่าวใช้ตัวตนหลายชั้น ตัวกลาง และการสร้างการเข้าถึงระยะยาวก่อนที่จะดำเนินการโจมตี
ที่มา: ZachXBT
ZachXBT เสริมว่าการไหลของเงินทุนบนเชนที่เกี่ยวข้องกับการโจมตีแสดงความเหลื่อมล้ำกับกระเป๋าเงินที่เชื่อมโยงกับเหตุการณ์ที่เกี่ยวข้องกับ DPRK ก่อนหน้านี้ รวมถึง Radiant Capital เขายังเน้นถึงความคล้ายคลึงกันในการดำเนินงาน รวมถึงการโต้ตอบที่จัดฉาก การส่งมอบมัลแวร์ผ่านช่องทางที่เชื่อถือได้ และการล้างข้อมูลอย่างรวดเร็วหลังการโจมตี
Drift Protocol เน้นย้ำว่าผู้ลงนาม multi-sig ทุกคนใช้ cold wallets ในระหว่างเหตุการณ์ บริษัทยังคงทำงานร่วมกับหน่วยงานบังคับใช้กฎหมายและพันธมิตรด้านนิติวิทยาศาสตร์เพื่อดำเนินการสอบสวนให้แล้วเสร็จ
ที่มา: https://coingape.com/drift-hack-update-protocol-shares-latest-security-update-on-april-1-exploit/
