Команда Drift Protocol опубликовала подробное описание инцидента, объяснив потерю примерно $280 million кампанией, длившейся несколько месяцев.

Хронология и подготовка

Согласно отчёту, злоумышленники готовили атаку примерно шесть месяцев до эксплуатации протокола и вывода средств.

В ходе подготовки атакующие выдавали себя за торговую фирму, налаживали контакты на конференциях и общались с членами команды через мессенджеры.

Социальная инженерия и первоначальное проникновение

Атакующие стремились укрепить доверие, инвестировав более $1 million в on-chain активность и демонстрируя операционное поведение команде Drift.

После установления доверия они предоставили репозиторий с вредоносными файлами; простое открытие такого файла запускало цепочку эксплойтов.

Для компрометации были использованы уязвимости в популярных инструментах разработки, в частности в VSCode и Cursor, что позволяло полезной нагрузке выполняться на компьютерах разработчиков.

Вывод средств и сокрытие следов

После успешной компрометации атакующие вывели примерно $280 million из протокола и удалили журналы чатов и другие следы своей деятельности.

Атрибуция

Расследование утверждает, что с высокой вероятностью операция связана с группой, ассоциируемой с Северной Кореей, исходя из технических индикаторов и поведенческих шаблонов.

Реакция и последствия

Drift Protocol опубликовал выводы, чтобы информировать сообщество и дать рекомендации по смягчению рисков, связанных с аналогичной социальной инженерией и уязвимостями в цепочке инструментов.