Selleks, mis alguses näis olevat äkkinene rünnak, osutus nüüd pikaajaliseks, väga koordineeritud tegevuseks. Drift Protocol on avaldanud, et $270 miljoni rünnak oli tulemus kuuekuulisest tungimiskampaaniast, mille eeldatavalt juhtisid Põhja-Korea riiklikult seotud tegelased.
Rünnaku tegijad ei kasutanud lihtsat nõrgkohta, vaid ehitasid usaldust aeglaselt, esitades end õiguspärase kvantitatiivse kaubandusfirma naena ja tungides süsteemi sisse. Nende lähenemisviis ulatus kaugemale digitaalsest pettusest. Nad suhtlesid otse kaasautoritega, külastasid krüptovaluutakonferentse ja lootsid suhteid, mis igal tasandil näisid usutavad.
See ei olnud „löö-ja-käi“-rünnak. See oli arvutatud, kannatlik ja mõeldud mitte ainult tehniliste kaitsemeetmete, vaid ka inimeste usalduse ületamiseks.
Esimene kontakt algas krüptokonverentsitel
Teatatakse, et tegevus algas sügisel 2025. aastal, kui rünnaku tegijad võtsid esimese kontakti suure krüptokonverentsil. Sel ajal ei olnud mingit kohe silmatorkavat punast lipukest. Grupp esitles end tehniliselt pädevate professionaalidena, kelle taustad olid kontrollitavad.
Nad rääkisid DeFi keelt voolavalt ja demonstreerisid sügavat mõistmist Drifti infrastruktuurist ja kaubandusmehhanismidest. Sellest tasemest eksperditeadmised aitasid neil sujuvalt sulada õiguspäraste kaasautorite ja partnerite hulka.
Väga varsti pärast seda liikus suhtlus Telegrammi, kus arutelud jätkusid mitu kuud. Need interaktsioonid ei olnud kiirustatud ega kahtlased. Pigem kujutasid nad tõelise koostöö tempot, täis tehnilisi arutelusid, strateegilist sisendit ja pidevat kaasatud olekut.
Kooskõlasuse ja usaldusväärsuse säilitamisega ehitasid rünnaku tegijad aeglaselt üles usaldust ka kogukonnas.
Usalduse ehitamine kapitali ja koostöö kaudu
Jaanuaris 2026 viis grupp oma kaasatuse veelgi kaugemale. Nad õnnestusid Ecosystem Vaulti ühendada ja alustasid töökohtumiste osalemist koos Drifti kaasautoritega.
Otsustavalt oluline oli see, et nad panustasid ka reaalset kapitalit, paigutades protokolli sisse üle $1 miljoni oma isiklikke vahendeid. See samm tugevdas nende õiguspärasust ja andis märku, et neil on ka ise „sulatunud raha mängus“.
Veebruaris ja märtsis kohtusid Drifti ekosüsteemi liikmed nende isikutega mitmes riigis isiklikult. Need silma peale vaatamise kohtumised lisasid veel ühe usalduse kihi, muutes veelgi väiksemaks tõenäosuse, et nende kavatsusi kahtlustataks.
Seal, kus rünnak lõppes, oli rünnaku tegijate ja kogukonna vaheline suhe juba peaaegu kuus kuud kestnud. Selline sügav tungimine on DeFi rünnakutes harva näha.
Rünnaku elluviimine kasutas soovitud sissepääsudeid
Kui kompromisseerimine lõpuks toimus, sai see teostatud kahe väga sihipärase vektori kaudu.
Esimese korral oli tegemist kurjade TestFlighti rakendusega, mida esitati õiguspärase rahakoti tootena. See andis rünnaku tegijatele ligipääsu kaasautorite seadmetele uute tööriistade testimise varjus.
Teine vektor kasutas ära teadaoleva nõrgakohta arenduskeskkondades nagu VSCode ja Cursor. Seda puudust oli turvakogukond juba kuus varem tuvastanud ja see võimaldas suvalise koodi täitmise lihtsalt faili avamisel.
Mõlemad meetodid võimaldasid rünnaku tegijatel kompromisseerida olulisi seadmeid ilma kohe kahtlust tekitamata. Kui nad sisse said, olid nad võimelised ligi pääsema tundlikkustele töövoogudele ja heakskiitmise mehhanismidele.
Selle tegevusfaasi rõhutab kriitiline muutus rünnakustrateegiates. Rünnaku tegijad ei sihita enam otse smart kontrakte, vaid keskenduvad üha rohkem inimestele ja nende ümber olevatele tööriistadele.
Lõpliku väljavõtmisega ilmnesid multisigi nõrgad kohad
Pärast ligipääsu tagatist liikusid rünnaku tegijad viimasesse faasi: elluviimisse.
Nad saavutasid kaks multisigi heakskiitu, mida kasutati tehingute autoriseerimiseks. Märkimisväärselt olid need tehingud eelnevalt allkirjastatud ja olid üle nädala ajaks passiivses olekus, et vältida kohe tuvastamist.
1. aprillil tegid rünnaku tegijad oma sammud. Vähem kui minuti jooksul võeti Drifti vaultidest välja umbes $270 miljonit.
Tehingute kiirus ja täpsus jäi interventsiooniks väga vähe ruumi. Enne kui tehinguid äratundis, olid fondid juba liigutatud.
Drift on pärast seda hoiatanud, et see juhtum paljastab fundamentaalsed nõrkused multisigi põhiste turvamudelite puhul. Kuigi multisigi süsteemid on mõeldud usalduse jaotamiseks, on nad ikka haavatavad, kui allkirjastajad ise on kompromisseeritud.
Ilmnesid seosed Põhja-Korea riiklike tegelastega
Rünnaku uurimised on seotud UNC4736 grupiga, mida tuntakse ka nimedega AppleJeus või Citrine Sleet. See üksus on laialdaselt seotud Põhja-Korea küberoperatsioonidega ja on seotud varem toimunud kõrgprofliilsete rünnakutega, sealhulgas Radiant Capital’i rünnakuga.
Huvitavalt piisab Drifti kaasautoritega otse suhtlenud isikuid, kellest ei tuvastatud Põhja-Korea kodanikke. Pigem tundusid nad kolmandate osapoolte vahendajatena, kellel olid ettevalmistatud identiteedid, mis olid konstrueeritud vastupidavaks kriitilisele analüüsile.
Selle kihtkujuline lähenemine muudab atributsiooni keerulisemaks ja suurendab tegevuse tõhusust. Eraldades maapealseid tegelasi koordineerivast üksusest, suutsid rünnaku tegijad säilitada usutavat legitimatsiooni kogu tungimise ajal.
Ärkamisvihje DeFi turvamudelitele
Drifti rünnak sunnib tööstust silmitsi seisma ebamugava tõega. Traditsioonilised turvamudelid, mis keskenduvad koodiaudititele, smart kontraktide nõrgkohtadele ja multisigi kaitsele, ei pruugi olla piisavad selliste vastaste vastu, kes on valmis investeerima aega, raha ja inimressursse.
Kui rünnaku tegijad saavad kulutada kuus kuud suhete ehitamisele, paigutada kapitalit usalduse saamiseks ja kohtuda tiimi liikmetega isiklikult, siis rünnakupind ulatub kaugemale koodist.
See teeb DeFi ekosüsteemile kriitilise küsimuse: milline turvakraamika suudab tuvastada ja takistada sellist sügavat tungimist?
Seni seisab see juhtum ühe kõige soovitud sotsiaalset inseneritööd kasutava rünnakuna krüptoruumi ajaloos. See rõhutab vajadust terviklikuma turvaprotsessi järele, mis arvestab inimkäitumisega, operatsiooniprotsessidega ja üha hägusamaks muutuvate joontega vahel veebis ja reaalses maailmas.
Sellega, kuidas protokollid edasi kasvavad ja atraherivad rohkem kapitalit, tõusevad ka riskid. Ja nagu see juhtum näitab, ei pruugi järgmise põlvkonna rünnakud tulla anonüümsetest rahakottidest, vaid usaldusväärsetest partneritest, kes istuvad teie laua teisel pool.
Teade: See ei ole kauplemis- ega investeerimissoovitus. Enne mistahes krüptovaluuta ostmist või teenuste investeerimist tehke alati oma uuringud.
Jälgige meid Twitteris @nulltxnews, et olla kursis viimaste krüpto-, NFT-, AI-, küberturvalisuse-, jaotatud arvutuste ning metaverse-uudistega!
Allikas: https://nulltx.com/north-korea-linked-group-behind-270m-drift-hack-six-month-plot-revealed/
