Tin nhắn BlockBeats, ngày 5 tháng 4, theo thông tin chính thức, Drift cho biết đang phối hợp với các cơ quan thực thi pháp luật, các đối tác thu thập bằng chứng và đội ngũ hệ sinh thái để điều tra toàn diện vụ tấn công mạng xảy ra vào ngày 1 tháng 4 năm 2026. Hiện tại, tất cả các chức năng giao thức đã bị tạm dừng, các ví bị ảnh hưởng đã được loại khỏi ví đa chữ ký, và địa chỉ của kẻ tấn công cũng đã bị gắn nhãn trên nền tảng giao dịch cũng như trong cầu nối xuyên chuỗi. Công ty an ninh Mandiant đã vào cuộc điều tra. Kết quả ban đầu cho thấy đây không phải là hành vi nhất thời, mà là một chiến dịch thâm nhập tình báo kéo dài khoảng 6 tháng, có bối cảnh mang tính tổ chức và được hỗ trợ bởi nguồn lực dồi dào. Ngay từ mùa thu năm 2025, một nhóm người tự xưng là nhân sự của các công ty giao dịch định lượng đã tiếp xúc với các thành viên trong nhóm Drift tại nhiều hội nghị mã hóa quốc tế, sau đó trong nhiều tháng liên tục xây dựng mối quan hệ, triển khai hợp tác, thậm chí đầu tư hơn 1 triệu USD vào nền tảng để tạo dựng độ tin cậy.
Qua điều tra, những người này có nền tảng chuyên môn và năng lực kỹ thuật, thông qua các nhóm Telegram để liên lạc lâu dài với nhóm nhằm trao đổi chiến lược giao dịch và tích hợp sản phẩm, đồng thời nhiều lần gặp trực tiếp các cộng tác viên nòng cốt tại các cuộc họp offline. Sau khi vụ tấn công xảy ra vào tháng 4 năm 2026, các bản ghi hội thoại liên quan và phần mềm độc hại đã được xóa nhanh chóng. Drift cho rằng, cuộc xâm nhập này có thể được thực hiện qua nhiều con đường, bao gồm việc dụ các thành viên trong nhóm sao chép một kho lưu trữ có mã độc, hoặc tải về ứng dụng kiểm thử được ngụy trang thành sản phẩm ví. Ngoài ra, cuộc tấn công cũng có thể đã tận dụng các lỗ hổng của VSCode và Cursor mà cộng đồng an ninh khi đó đã cảnh báo, để thực thi mã độc trong khi người dùng không hề hay biết.
Dựa trên phân tích dòng tiền on-chain và các mẫu hành vi, nhóm an ninh ban đầu nhận định rằng hành động này có liên quan đến tổ chức đứng sau vụ tấn công của Radiant Capital năm 2024; tổ chức này được quy cho nhóm hacker có bối cảnh Triều Tiên (như UNC4736 / AppleJeus). Điều đáng chú ý là những người từng tiếp xúc trực tiếp không phải người Triều Tiên, mà là các bên trung gian bên thứ ba. Drift cho biết kẻ tấn công đã xây dựng một hệ thống danh tính hoàn chỉnh và đáng tin cậy, bao gồm lý lịch nghề nghiệp và bối cảnh công khai, nhằm vượt qua việc tiếp xúc lâu dài để giành được niềm tin. Hiện cuộc điều tra vẫn đang được tiến hành, nhóm kêu gọi ngành công nghiệp tăng cường thẩm định an toàn thiết bị và quản lý quyền truy cập.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
