Driftプロトコルは、先週被った2億8000万ドルを超えるハッキングが、「Driftエコシステム内での機能的な運用プレゼンスを構築する」ことを含む、長期間にわたって慎重に計画された作戦の結果だと述べています。
4月1日、Solanaベースの取引プラットフォームは異常なアクティビティを検出し、その後セキュリティ評議会の管理権を乗っ取ることを可能にした高度な攻撃で資金が失われたことが確認されました。
ブロックチェーンインテリジェンス企業のEllipticとTRM Labsは、この盗難を北朝鮮のハッカーに帰属させており、彼らは約12分でユーザー資産を流出させました。
調査により、ハッカーは少なくとも6ヶ月間攻撃を準備していたことが明らかになり、定量的企業になりすまし、複数の暗号カンファレンスでDriftの貢献者に直接接触していました。
「このグループの個人が、複数の国の複数の主要業界カンファレンスで、その後の6ヶ月間にわたって、特定のDrift貢献者を意図的に求め出し、対面で関与し続けていたと考えられる、標的型のアプローチであるように見えるということが現在理解されています。」とDriftプロトコルは述べています。
脅威アクターは、Telegramを介して対象者と通信し続け、取引戦略とポテンシャルなボールト統合について議論していました。彼らは技術的に熟練しており、Driftの動作方法に精通していることを示しており、インタラクションは取引企業とプラットフォーム間の典型的なオンボーディング交換に似ていました。
Driftによると、貢献者の関与に使用されたTelegramグループは、盗難が発生した直後に削除されました。
このプラットフォームは攻撃ベクトルを確実に特定していませんが、2人の貢献者が以下の方法で侵害されたと考えています:
- 貢献者と共有された悪意のあるコードリポジトリ。VSCode/Cursor脆弱性を悪用した可能性があり、サイレント実行を許可した
- ウォレット製品として提示された悪意のあるTestFlightアプリケーション
EllipticおよびTRM Labsの調査で見つかった複数の指標は、北朝鮮の脅威アクターを指しています。Driftの調査結果は、攻撃が中程度から高い確信度でUNC4736(別名AppleJeusおよびLabyrinth Chollima)によって実行されたことを示しており、この脅威アクターは複数のセキュリティ企業によって北朝鮮にリンクされています。
インシデント対応企業Mandiantは、以前UNC4736をLazarusと関連付けていました。同じ脅威グループは、2023年の3CXサプライチェーン攻撃、2024年のRadiant暗号盗難で5000万ドルを担当し、またChrome ゼロデイの悪用にもリンクされています。
ただし、カンファレンスでDriftの主要貢献者と会った対面のアクターは、非韓国籍の仲介者であったことに注意してください。
現在、Driftプロトコルのすべての機能は凍結され、侵害されたウォレットはマルチシグプロセスから削除されています。
Driftは、攻撃者のウォレットが取引所とブリッジオペレータ全体にフラグが付けられており、脅威アクターが資金を移動または引き出すことを防ぐと述べています。
