ドリフト・プロトコルは、自社プラットフォームに対する4月1日の攻撃が、数カ月にわたる計画とソーシャルエンジニアリングの後に行われたと述べた

概要

• ドリフトは、攻撃者が悪意のあるツールを使ってコントリビューターの端末に侵入する前に、6カ月かけて信頼を築いたと述べた。
• 取引所は、このエクスプロイトをミディアム〜ハイの確信度で、Radiant Capitalの2024年10月のハックの背後にいる主体と結び付けた。
• ドリフトは、暗号資産イベントでの繰り返しの対面接触が、攻撃者がコントリビューターを調査しアクセスを得るのに役立ったと述べた。

分散型取引所は、この件を、悪意のあるツールやリンクを送る前にコントリビューターと信頼を築くための時間を費やしたグループに結び付けた。外部の推計では、損失は約$280 millionと見積もられている。

ドリフト・プロトコルは、初期の調査で、自社に対する長く組織化されたキャンペーンがあったことを見つけたと述べた。同チームは、作戦中に攻撃者が「組織的な後ろ盾、リソース、そして数カ月にわたる意図的な準備」を示したと語った。

取引所によれば、接触は2025年10月ごろに始まったという。ドリフトによると、数量取引企業のメンバーを装った人々が大規模な暗号資産カンファレンスでコントリビューターに近づき、プロトコルへの統合をしたいのだと主張した。

対面の会合が時間をかけて信頼を築いた

ドリフトは、そのグループが今後6カ月間にわたり、複数の業界イベントでコントリビューターと会い続けたと述べた。同チームは、関与した人々が技術的に熟練しており、ドリフトの仕組みを理解していて、実際のプロとしての経歴があるように見えたと述べた。

この安定した接触は、グループが信頼を得るのに役立った。ドリフトは、攻撃者がその後、コントリビューターに共有された悪意のあるリンクとツールを使って端末を侵害し、エクスプロイトを実行し、侵入後に自らの活動の痕跡を取り除いたと述べた。

さらにドリフトは、同一の主体が2024年10月のRadiant Capitalハックの背後にいたのと同じだという「ミディアム〜ハイの確信度」を持っていると述べた。先の攻撃では約$58 millionの損失が発生し、内部システムへのアクセスを得るために使われたマルウェアも関与していた。

Radiant Capitalは2024年12月に、北朝鮮と連動したハッカーが元請負業者を装い、Telegram経由でマルウェアを送ったと述べた。Radiant Capitalによれば、「このZIPファイル」がその後、フィードバック目的で開発者の間に広まり、侵入への道を開いたという。

ドリフトは、カンファレンスが攻撃対象になり得ると警告

ドリフトは、コントリビューターに対面で会った人々が「北朝鮮の国籍者ではなかった」と述べた。同時に、同チームは、DPRKと関連する脅威主体は、対面での接触や関係構築のために第三者の仲介者を使うことが多いとした。

取引所は現在、法執行機関や他の暗号資産業界の参加者と協力して、4月1日の攻撃の全容を記録するための作業を進めていると述べた

この事件はまた、暗号資産企業に対し新たな警告も加えた。すなわち、カンファレンスや対面の会合は、脅威グループにチームを調査し、信頼を築き、のちの攻撃に備える機会を与え得るということだ。