Drift Protocol đã tiết lộ chi tiết về vụ tấn công ngày 1 tháng 4 năm 2026, nêu rõ một cuộc tấn công có tổ chức được xây dựng trong sáu tháng. Sàn giao dịch phi tập trung cho biết vi phạm xảy ra sau các cuộc họp trực tiếp, tương tác kỹ thuật và phân phối phần mềm độc hại. Sự cố xảy ra vào ngày 1 tháng 4, liên quan đến những người đóng góp bị xâm phạm và dẫn đến thiệt hại ước tính gần 280 triệu USD.
Drift Protocol Truy Vết Kỹ Thuật Social Engineering Dài Hạn
Trong một bài viết trên X, Drift Protocol cho biết cuộc tấn công bắt đầu vào khoảng tháng 10 năm 2025 tại một hội nghị crypto lớn. Theo Drift Protocol, những cá nhân đóng giả là một công ty giao dịch định lượng đã tiếp cận những người đóng góp để tìm kiếm tích hợp.
Tuy nhiên, tương tác không dừng lại ở đó. Nhóm này tiếp tục gặp gỡ những người đóng góp tại nhiều hội nghị ngành toàn cầu trong sáu tháng. Họ trình bày lý lịch chuyên môn đã được xác minh và thể hiện sự thành thạo kỹ thuật trong các cuộc họp trực tiếp lặp lại.
Ngoài ra, họ đã thành lập một nhóm Telegram sau lần liên hệ đầu tiên. Theo thời gian, họ thảo luận về chiến lược giao dịch và tích hợp vault tiềm năng với những người đóng góp. Những cuộc thảo luận này tuân theo các mô hình tiếp nhận tiêu chuẩn cho các công ty giao dịch tương tác với Drift Protocol.
Từ tháng 12 năm 2025 đến tháng 1 năm 2026, nhóm đã tiếp nhận một vault hệ sinh thái. Họ gửi chi tiết chiến lược và nạp hơn 1 triệu USD vào giao thức. Trong khi đó, họ tiến hành các phiên làm việc và đặt các câu hỏi chi tiết về sản phẩm.
Vi Phạm Liên Quan Đến Công Cụ Được Chia Sẻ và Quyền Truy Cập Thiết Bị
Khi các cuộc đàm phán tích hợp tiến triển vào tháng 2 và tháng 3 năm 2026, lòng tin ngày càng sâu sắc. Những người đóng góp lại gặp nhóm này tại các sự kiện ngành, củng cố các mối quan hệ hiện có. Tuy nhiên, Drift Protocol sau đó đã xác định những tương tác này là vector xâm nhập có khả năng xảy ra.
Theo Drift Protocol, những kẻ tấn công đã chia sẻ các kho lưu trữ và ứng dụng độc hại trong quá trình hợp tác. Điều này hoàn toàn trái ngược với lời cảnh báo của ZachXBT đối với Circle về sự chậm trễ trong vụ tấn công 280 triệu USD. Một người đóng góp được cho là đã sao chép một kho lưu trữ mã được trình bày như một công cụ triển khai frontend.
Nguồn: Arkham
Một người đóng góp khác đã tải xuống một ứng dụng TestFlight được mô tả là một sản phẩm ví. Những hành động này có khả năng khiến các thiết bị bị xâm phạm. Đối với vector kho lưu trữ, Drift Protocol đã chỉ ra một lỗ hổng đã biết trong VSCode và Cursor.
Từ tháng 12 năm 2025 đến tháng 2 năm 2026, việc mở tệp có thể dẫn đến thực thi mã im lặng mà không có cảnh báo. Sau vụ tấn công, Drift Protocol đã tiến hành đánh giá pháp y trên các thiết bị và tài khoản bị ảnh hưởng. Đáng chú ý, các kênh liên lạc của kẻ tấn công và phần mềm độc hại đã bị xóa ngay lập tức sau khi thực thi.
Quy Kết và Nỗ Lực Điều Tra Đang Diễn Ra
Drift Protocol cho biết đã đóng băng tất cả các chức năng giao thức sau khi phát hiện vụ tấn công. Nó cũng đã loại bỏ các ví bị xâm phạm khỏi cấu trúc đa chữ ký và gắn cờ ví của kẻ tấn công trên các sàn giao dịch và cầu nối. Công ty đã hợp tác với Mandiant để hỗ trợ cuộc điều tra. Trong khi đó, SEALs 911 đã đóng góp phân tích chỉ ra một nhóm đe dọa đã biết.
Với mức độ tin cậy trung bình-cao, sàn giao dịch phi tập trung đã liên kết cuộc tấn công với các tác nhân đứng sau vụ hack Radiant Capital vào tháng 10 năm 2024. Hoạt động đó trước đây được quy cho UNC4736, còn được gọi là AppleJeus hoặc Citrine Sleet.
Drift Protocol làm rõ rằng các cá nhân tham gia các cuộc họp trực tiếp không phải là công dân Triều Tiên. Thay vào đó, nó lưu ý rằng các hoạt động như vậy thường sử dụng các trung gian bên thứ ba để tương tác trực tiếp.
Theo ZachXBT, hoạt động này phản ánh các hoạt động mạng liên quan đến DPRK đã biết thường được nhóm dưới ô Lazarus. Ông giải thích rằng Lazarus đề cập đến một cụm các đơn vị hacking, trong khi DPRK chỉ ra sự liên kết nhà nước đằng sau các hoạt động đó. Ông lưu ý rằng các nhóm như vậy sử dụng danh tính phân lớp, trung gian và xây dựng quyền truy cập dài hạn trước khi thực hiện các cuộc tấn công.
Nguồn: ZachXBT
ZachXBT bổ sung rằng các luồng quỹ trên chuỗi liên quan đến vụ tấn công cho thấy sự chồng chéo với các ví được liên kết với các sự cố liên quan đến DPRK trước đây, bao gồm Radiant Capital. Ông cũng nhấn mạnh những điểm tương đồng trong hoạt động, bao gồm các tương tác theo giai đoạn, phân phối phần mềm độc hại thông qua các kênh đáng tin cậy và dọn dẹp nhanh chóng sau khi thực thi.
Drift Protocol nhấn mạnh rằng tất cả người ký đa chữ ký đã sử dụng ví lạnh trong sự cố. Nó tiếp tục làm việc với các cơ quan thực thi pháp luật và đối tác pháp y để hoàn thành cuộc điều tra.
Nguồn: https://coingape.com/drift-hack-update-protocol-shares-latest-security-update-on-april-1-exploit/
