Drift Protocol mengatakan serangan 1 April terhadap platformnya terjadi setelah berbulan-bulan perencanaan dan rekayasa sosial

Ringkasan

• Drift mengatakan para penyerang menghabiskan enam bulan membangun kepercayaan sebelum menggunakan alat berbahaya untuk membobol perangkat kontributor.
• Bursa mengaitkan eksploitasi tersebut dengan tingkat keyakinan menengah-tinggi kepada aktor di balik peretasan Radiant Capital pada Oktober 2024.
• Drift mengatakan kontak berulang secara langsung di acara-acara kripto membantu para penyerang mempelajari kontributor dan mendapatkan akses.

Pertukaran terdesentralisasi itu mengaitkan kasus ini dengan sebuah kelompok yang menghabiskan waktu membangun kepercayaan dengan kontributor sebelum mengirimkan alat dan tautan berbahaya. Perkiraan eksternal menempatkan kerugian sekitar $280 juta.

Drift Protocol mengatakan peninjauan awalnya menemukan kampanye yang panjang dan terorganisasi terhadap platform tersebut. Tim mengatakan para penyerang menunjukkan “dukungan organisasi, sumber daya, dan berbulan-bulan persiapan yang disengaja” selama operasi.

Bursa mengatakan kontak itu dimulai sekitar Oktober 2025. Menurut Drift, orang-orang yang menyamar sebagai anggota perusahaan perdagangan kuantitatif mendekati kontributor di sebuah konferensi kripto besar dan mengklaim bahwa mereka ingin mengintegrasikan diri dengan protokol.

Pertemuan tatap muka membangun kepercayaan dari waktu ke waktu

Drift mengatakan kelompok tersebut terus bertemu dengan kontributor di beberapa acara industri selama enam bulan berikutnya. Tim mengatakan orang-orang yang terlibat memiliki keterampilan teknis, tahu bagaimana cara kerja Drift, dan tampak memiliki latar belakang profesional yang nyata.

Kontak yang stabil itu membantu kelompok tersebut mendapatkan kepercayaan. Drift mengatakan para penyerang kemudian menggunakan tautan dan alat berbahaya yang dibagikan dengan kontributor untuk membajak perangkat, menjalankan eksploitasi, dan menghapus jejak aktivitas mereka setelah pelanggaran.

Selain itu, Drift mengatakan pihaknya memiliki “keyakinan menengah-tinggi” bahwa aktor yang sama di balik peretasan Radiant Capital Oktober 2024 menjalankan eksploitasi ini. Serangan sebelumnya itu menyebabkan kerugian sekitar $58 juta dan juga melibatkan malware yang digunakan untuk mendapatkan akses ke sistem internal.

Radiant Capital mengatakan pada Desember 2024 bahwa seorang peretas yang selaras dengan Korea Utara menyamar sebagai mantan kontraktor dan mengirim malware melalui Telegram. Radiant mengatakan “file ZIP ini” kemudian menyebar di kalangan pengembang untuk umpan balik dan membuka jalan bagi intrusi tersebut.

Drift memperingatkan bahwa konferensi dapat menjadi target serangan

Drift mengatakan orang-orang yang bertemu kontributor secara langsung “bukan warga negara Korea Utara.” Pada saat yang sama, tim mengatakan aktor ancaman yang terkait DPRK sering menggunakan perantara pihak ketiga untuk kontak tatap muka dan membangun hubungan.

Bursa mengatakan sekarang pihaknya bekerja sama dengan aparat penegak hukum dan peserta lain di industri kripto untuk membangun catatan lengkap tentang serangan 1 April

Kasus ini juga menambah peringatan baru bagi perusahaan kripto, karena konferensi dan pertemuan tatap muka dapat memberi kelompok ancaman kesempatan untuk mempelajari tim, membangun kepercayaan, dan mempersiapkan serangan-serangan berikutnya.