Drift Protocol：починає розробку плану відновлення, бере участь у STRIDE програмі безпеки

Drift Protocol 8 квітня в X опублікував оновлення щодо найсвіжого розвитку подій, повідомивши, що наразі активно співпрацює з партнерами над розробкою узгодженого плану відновлення. На цьому етапі головним пріоритетом є стабілізація ситуації, а також надання всім постраждалим користувачам і партнерствам гарантії на рівні угод. Крім того, Drift Protocol оголосив, що братиме участь у безпековій програмі STRIDE, що належить до фонду Solana; згодом буде оприлюднено більше деталей.

Стан плану відновлення: стабілізація ситуації — першочергове завдання

Drift Protocol підкреслює, що розробка плану відновлення передбачає багатосторонню координацію з партнерами, постраждалими користувачами та партнерами з екосистемної взаємодії. Наразі пріоритетом є «стабілізація ситуації» — забезпечити, щоб постраждалі користувачі отримали гарантію на рівні угод, а також опрацювати подальші варіанти компенсації та відновлення.

Участь у програмі STRIDE є важливою складовою дорожньої карти посилення безпеки Drift Protocol. STRIDE очолює Asymmetric Research, її фінансує фонд Solana. Вона надає незалежні оцінки безпеки, цілодобовий проактивний моніторинг загроз (для угод із TVL понад 10M доларів США), а також послуги формальної верифікації (для угод із TVL понад 100M доларів США).

Розбір атаки: деталі шести місяців розвідувальних проникнень

Ця атака не є традиційним використанням технічної вразливості, а радше комплексною операцією, що поєднує соціальну інженерію та технологічне проникнення. Зловмисники маскувалися під «кількісні торгові компанії, які зацікавлені в інтеграції». В минулому осінньому сезоні на одній великій галузевій конференції вони нав’язливо контактували з цільовими працівниками, а згодом поступово вибудовували довіру через офлайн-зустрічі та спілкування в Telegram. Перед виконанням атаки атакувальна сторона навіть розмістила 1M доларів США власних коштів на платформі, у сейфі, щоб підвищити правдоподібність; після завершення операції вони одразу зникли без сліду.

Технічний шлях застосування атакувальних методів

Впровадження зловмисного коду в бібліотеку: через ланцюжок постачання — вбудування зловмисного коду в середовище розробки для досягнення тихого виконання

Підробка застосунку: введення внескувачів в оману за допомогою інструмента, що виглядає законним, щоб вони завантажили та виконали зловмисну програму

Використання вразливостей інструментів розробки: досягнення ефекту тихого виконання коду за рахунок слабких місць у процесі розробки

Проникнення через соціальну інженерію: використання третьої сторони як посередника для проведення офлайн-зустрічей, щоб уникнути ризиків прямого визначення громадянства

Drift Protocol зазначає, що особи, які здійснювали офлайн-контакти, не були громадянами Кореї; такі актори з державним бекґраундом зазвичай виконують завдання з проникнення на місці через третіх посередників.

AppleJeus: цифрові сліди атак розвідорганізації Північної Кореї

Drift Protocol з середньо-високим рівнем довіри пов’язує цю атаку з загрозливою організацією AppleJeus (також відомою як Citrine Sleet). Раніше компанія з кібербезпеки Mandiant пов’язала цю організацію з хакерською атакою на Radiant Capital у 2024 році. Особи, відповідальні за реагування на інцидент, заявили, що дані on-chain аналізу та патерни збігу задентифікованих осіб вказують на участь осіб, пов’язаних із Північною Кореєю, але Mandiant наразі не підтвердив офіційно це приписування.

Стратегічний керівник однієї з блокчейн-безпекових компаній зазначив, що супротивник, з яким нині стикається команда криптовалюти, більше схожий на «розвідувальну структуру», а не на традиційних хакерів. І цей випадок демонструє ключову проблему безпеки: не кількість підписантів транзакції, а «відсутність базового розуміння намірів транзакції», через що підписантів підштовхують погодитися на шкідливі дії.

Попередження для індустрії: екосистема DeFi може бути вже широко уражена проникненням

Один із безпекових дослідників, який брав участь у цьому розслідуванні, заявив, що екосистема DeFi, можливо, вже широко піддалася проникненню з боку таких акторів, і припустив, що відповідні організації протягом тривалого часу брали участь у впливі на кілька угод. Це означає, що атака Drift Protocol може бути не ізольованим випадком, а частиною ширшої масштабної та тривалої операції проникнення; вся захисна архітектура безпеки в децентралізованій фінансовій екосистемі стикається з фундаментальним тиском для переосмислення.

Поширені запитання

Як виглядає прогрес плану відновлення у справі про викрадення Drift Protocol на 285 мільйонів доларів?

Drift Protocol заявив, що активно працює з партнерами над розробкою узгодженого плану відновлення. На цьому етапі акцент зроблено на стабілізації ситуації та наданні всім постраждалим користувачам і партнерам гарантії на рівні угод, а також на повідомленні про участь у безпековій програмі STRIDE, що належить фонду Solana. Згодом деталі будуть оприлюднені окремо.

Як Drift Protocol зазнав атаки?

Зловмисники маскувалися під компанію з кількісної торгівлі. Протягом шести місяців вони через офлайн-зустрічі та соціальну інженерію вибудовували довіру, попередньо внесли 1M доларів США реальних коштів, щоб підвищити правдоподібність, а в кінцевому підсумку здійснили тихе виконання коду через зловмисну бібліотеку коду, підроблені застосунки та використання вразливостей у інструментах розробки, викравши близько 285 мільйонів доларів США.

Чи підтверджено зв’язок цієї атаки з північнокорейською розвідувальною організацією?

Drift Protocol із середньо-високою довірою приписує атаку загрозливій організації AppleJeus. Дані ончейн-аналізу та патерни збігу профілів за ідентичністю вказують на участь осіб, пов’язаних із Північною Кореєю. Однак компанія з кібербезпеки Mandiant наразі не підтвердила офіційно це приписування.