Le protocole Drift a déclaré que l’attaque du 1er avril contre sa plateforme faisait suite à des mois de planification et d’ingénierie sociale

Résumé

• Drift a indiqué que les attaquants ont passé six mois à bâtir la confiance avant d’utiliser des outils malveillants pour compromettre les appareils des contributeurs.
• L’échange a relié l’exploit, avec une confiance moyenne à élevée, aux acteurs à l’origine du piratage d’octobre 2024 de Radiant Capital.
• Drift a déclaré que des contacts répétés en personne lors d’événements crypto ont aidé les attaquants à étudier les contributeurs et à obtenir l’accès.

L’échange décentralisé a relié l’affaire à un groupe qui a pris le temps d’établir la confiance avec les contributeurs avant d’envoyer des outils et des liens malveillants. Des estimations externes évaluent la perte à environ 280 millions de dollars.

Le protocole Drift a déclaré que son examen précoce avait mis au jour une campagne longue et organisée contre la plateforme. L’équipe a indiqué que, pendant l’opération, les attaquants avaient fait preuve de « soutien organisationnel, de ressources et de mois de préparation délibérée ».

L’échange a déclaré que le contact a commencé vers octobre 2025. D’après Drift, des personnes se faisant passer pour des membres d’une société de trading quantitatif ont abordé des contributeurs lors d’une grande conférence crypto et ont affirmé vouloir s’intégrer au protocole.

Des réunions en personne ont permis d’établir la confiance au fil du temps

Drift a indiqué que le groupe a continué à rencontrer des contributeurs lors de plusieurs événements du secteur au cours des six mois suivants. L’équipe a indiqué que les personnes impliquées étaient techniquement compétentes, savaient comment fonctionne Drift, et semblaient avoir de véritables antécédents professionnels.

Ce contact régulier a aidé le groupe à gagner la confiance. Drift a indiqué que les attaquants ont ensuite utilisé des liens et des outils malveillants partagés avec des contributeurs pour compromettre les appareils, exécuter l’exploit et supprimer les traces de leur activité après la brèche.

En plus, Drift a déclaré avoir « une confiance moyenne à élevée » que les mêmes acteurs à l’origine du piratage de Radiant Capital d’octobre 2024 ont mené cet exploit. Cette attaque antérieure a entraîné des pertes d’environ 58 millions de dollars et impliquait également un logiciel malveillant utilisé pour accéder aux systèmes internes.

Radiant Capital a déclaré en décembre 2024 qu’un pirate aligné sur la Corée du Nord s’était fait passer pour un ancien prestataire et avait envoyé un logiciel malveillant via Telegram. Radiant a indiqué que « ce fichier ZIP » s’est ensuite répandu parmi les développeurs pour des retours et a ouvert la voie à l’intrusion.

Drift avertit que les conférences peuvent devenir des cibles d’attaque

Drift a déclaré que les personnes qui ont rencontré les contributeurs en personne « n’étaient pas des ressortissants nord-coréens ». Dans le même temps, l’équipe a indiqué que les acteurs de menace liés à la Corée du Nord utilisent souvent des intermédiaires tiers pour les contacts en face à face et l’établissement des relations.

L’échange a déclaré qu’il travaille désormais avec les forces de l’ordre et d’autres acteurs de l’industrie crypto pour établir un dossier complet de l’attaque du 1er avril

L’affaire a également ajouté un nouvel avertissement pour les entreprises crypto, car les conférences et les réunions en personne peuvent donner aux groupes de menace l’occasion d’étudier les équipes, d’établir la confiance et de préparer des attaques ultérieures.