نقض پروتکل Drift به ارزش 280 میلیون دلار: ماه‌ها آماده‌سازی عمدی

پروتکل دریفت، صرافی غیرمتمرکز، می‌گوید که آخرین نقض امنیتی آن یک حادثه تصادفی نبود، بلکه یک عملیات شش‌ماهه با هماهنگی بالا بود که توسط یک شبکه ساختاریافته از عوامل تهدید انجام شد. ارزیابی اولیه شرکت این حمله را به عنوان یک کمپین سبک اطلاعاتی توصیف می‌کند که به پشتیبانی سازمانی، منابع قابل توجه و ماه‌ها آماده‌سازی عمدی نیاز داشت. برآوردهای خارجی خسارات را تقریباً 280 میلیون دلار برآورد می‌کنند.

دریفت این طرح را به اکتبر 2025 ردیابی کرد، زمانی که مهاجمان با ظاهر شدن به عنوان یک شرکت معاملاتی کمی به مشارکت‌کنندگان دریفت در یک کنفرانس بزرگ کریپتو نزدیک شدند و علاقه خود را به ادغام با پروتکل نشان دادند. طی شش ماه بعد، این گروه با مشارکت‌کنندگان دریفت به صورت حضوری در رویدادهای متعدد صنعت درگیر شد. دریفت این رویکرد را هدفمند توصیف کرد: افراد از گروه از نظر فنی مسلط به نظر می‌رسیدند، سوابق حرفه‌ای قابل تأیید داشتند و با نحوه عملکرد دریفت آشنا بودند. مهاجمان از جلسات حضوری برای ایجاد اعتماد استفاده کردند، سپس از بارهای مبتنی بر لینک مشترک و ابزارها برای به خطر انداختن دستگاه‌های مشارکت‌کنندگان استفاده کردند و پیش از پاک کردن ردپای خود، سوء استفاده را فعال کردند.

نکات کلیدی

• نقض امنیتی پروتکل دریفت به عنوان یک عملیات هماهنگ شش‌ماهه با برآورد خسارت خارجی نزدیک به 280 میلیون دلار توصیف می‌شود.
• تحقیقات به یک حرکت استخدامی حضوری در دوران کنفرانس اشاره دارد که از حدود اکتبر 2025 شروع شد و هدف آن مشارکت‌کنندگان دریفت بود.
• مهاجمان از طریق دستگاه‌های به خطر افتاده از طریق لینک‌ها و ابزارهای مخرب دسترسی به دست آوردند، سپس پس از اجرا هر گونه ردی از فعالیت خود را حذف کردند.
• دریفت ارتباط احتمالی با هک Radiant Capital اکتبر 2024 را اعلام می‌کند و نشان می‌دهد که همان عوامل ممکن است درگیر باشند، اگرچه انتساب همچنان پیچیده است.
• Radiant Capital حادثه 2024 را به عنوان بدافزار ارسال شده از طریق تلگرام از یک هکر هماهنگ با کره شمالی که به عنوان یک پیمانکار سابق ظاهر شد، توصیف کرد؛ دریفت هشدار می‌دهد که افرادی که به صورت حضوری دیده شدند، اتباع کره شمالی نبودند.
• این مورد بر ریسک‌های امنیتی مداوم در کنفرانس‌های کریپتو و نیاز به دقت بیشتر هنگام تعامل با همکاران خارجی تأکید می‌کند.

جدول زمانی در حال گسترش: از کنجکاوی کنفرانس تا سوء استفاده

گزارش دریفت نشان می‌دهد که مهاجمان تعامل خود را در یک گردهمایی برجسته صنعت آغاز کردند و خود را به عنوان شرکای احتمالی ادغام به جای مهاجمان آشکار معرفی کردند. طی ماه‌های بعد، این گروه با مشارکت‌کنندگان دریفت در چندین رویداد ملاقات کرد و با دقت روابط را ایجاد کرد و درک فنی قابل اعتمادی از عملیات دریفت را نشان داد. این مرحله به مهاجمان کمک کرد تا به کانال‌های داخلی و ارتباطات قابل اعتماد دسترسی پیدا کنند که سپس به کانال خود سوء استفاده تبدیل شد.

طبق گفته دریفت، عملیات به طور عمدی ساختار یافته بود، با پشتیبانی سازمان‌یافته و منابعی که به مهاجمان اجازه داد یک کمپین طولانی مدت را حفظ کنند. مهاجمان در نهایت ابزار و لینک‌های مخرب را از طریق دستگاه‌های به خطر افتاده مشارکت‌کنندگان دریفت مستقر کردند و نقض را فعال کردند. پس از سوء استفاده، مزاحمان گزارش شده است که ردپاهای دیجیتال خود را پاک کردند و پاسخ به حادثه و کار قانونی برای دریفت و شرکای آن را پیچیده کردند.

این نقض به عنوان یک یادآوری هوشیارکننده برای شرکت‌کنندگان در فضای کریپتو عمل می‌کند: حتی تعاملات رو در رو در کنفرانس‌ها—که اغلب به عنوان فرصت‌های شبکه‌سازی دیده می‌شوند—می‌توانند به عنوان بردارهایی برای عوامل تهدید پیچیده و دارای منابع خوب مورد استفاده قرار گیرند. این پویایی بر اهمیت بهداشت دقیق دستگاه، روش‌های امنیتی لایه‌ای و همکاری محتاطانه با شخص ثالث در بخشی که پارچه اعتماد به شدت با قابلیت همکاری بافته شده است، تأکید می‌کند.

پیوند Radiant Capital: یک خط احتمالی، با هشدارهای مهم

دریفت گفت که اطمینان بالا تا متوسط بالایی دارد که همان گروه پشت هک Radiant Capital اکتبر 2024 ممکن است به حادثه دریفت مرتبط باشد. نقض Radiant Capital در دسامبر 2024 افشا شد و شرکت نفوذ را به عنوان بدافزار ارسال شده از طریق تلگرام توسط یک عامل هماهنگ با کره شمالی که به عنوان یک پیمانکار سابق ظاهر شد، توصیف کرد. در آن مورد، یک فایل ZIP که برای بازخورد در میان توسعه‌دهندگان به اشتراک گذاشته شد، گفته می‌شود بدافزاری را ارائه کرد که نفوذ را فعال کرد.

دریفت تأکید کرد که افرادی که به صورت حضوری در کنفرانس‌ها ظاهر شدند، اتباع کره شمالی نبودند. شرکت همچنین اشاره کرد که عوامل تهدید مرتبط با DPRK برای انجام ایجاد روابط رو در رو از واسطه‌های شخص ثالث استفاده می‌کنند، الگویی که در موارد دیگر نیز مشاهده شده است. این ارتباط همچنان موضوع تحقیقات جاری است و انتساب در حوادث سایبری پیچیده اغلب با ظهور شواهد جدید تکامل می‌یابد.

برای زمینه، حادثه Radiant Capital نشان داد که چگونه مهندسی اجتماعی و بارهای راه دور می‌توانند با ایجاد اعتماد حضوری همگرا شوند تا حتی سیستم‌های پیچیده را نقض کنند. همگرایی این روایت‌ها—استخدام مبتنی بر کنفرانس، بدافزار ارسال شده از طریق دستگاه‌های به خطر افتاده و پیوندها به هک‌های پرپروفایل قبلی—توسط بازرسان مورد بررسی دقیق قرار خواهد گرفت زیرا آنها زنجیره کامل رویدادهای اطراف نقض دریفت را کنار هم می‌گذارند.

تحقیقات جاری و پیامدهای صنعت

دریفت گفت که با مجریان قانون و سایر شرکت‌کنندگان صنعت همکاری می‌کند تا تصویر کاملی از آنچه در طول حمله 1 آوریل اتفاق افتاده است، جمع‌آوری کند. افشای شرکت بر نیاز مداوم به همکاری بین صنعتی در اطلاعات تهدید، پاسخ به حادثه و قانونی پس از نقض تأکید می‌کند. در حالی که دریفت تمام جزئیات فنی سازش را فاش نکرده است، تأکید بر یک تلاش طولانی و هماهنگ به سطحی از پیچیدگی اشاره می‌کند که فراتر از نفوذهای فرصت‌طلبانه است.

برای سرمایه‌گذاران و سازندگان در فضای دیفای، حادثه دریفت چندین نکته عملی را تقویت می‌کند. اول، حتی مشارکت‌کنندگان دیرپا و روابط قابل اعتماد از دستکاری مصون نیستند وقتی مهاجمان تاکتیک‌های حضوری را با سوء استفاده‌های فنی ترکیب می‌کنند. دوم، انتساب در کمپین‌های پیچیده می‌تواند مبهم باشد و نیاز به بررسی‌های دقیق مبتنی بر شواهد به جای نتیجه‌گیری‌های زودهنگام دارد. در نهایت، این اپیزود بر نیاز مداوم به معماری‌های امنیتی قوی که می‌توانند نفوذهای چند مرحله‌ای را شناسایی و مهار کنند، از جمله اعتبارنامه‌های به خطر افتاده، پایگاه‌های سطح دستگاه و ردهای پس از سوء استفاده، تأکید می‌کند.

همانطور که تحقیقات گسترش می‌یابد، خوانندگان باید مراقب هر گونه به‌روزرسانی در مورد روش‌های مهاجمان، شاخص‌های جدید سازش و هر گونه تغییر برنامه‌ای در نحوه رویکرد دریفت و سایر پروتکل‌ها به پذیرش مشارکت‌کننده، ادغام شریک و دفترچه‌های راهنمای پاسخ به حادثه باشند. همگرایی یک رویکرد چند ماهه مبتنی بر کنفرانس با پیوند احتمالی به نقض‌های پرپروفایل قبلی بر چشم‌انداز ریسک گسترده‌تری که پلتفرم‌های غیرمتمرکز با آنها روبرو هستند، زیرا آنها در سراسر اکوسیستم مقیاس می‌گیرند و همکاری می‌کنند، تأکید می‌کند.

آنچه نامشخص باقی می‌ماند، میزان کامل تأثیر نقض بر کاربران و نقدینگی دریفت، سرعت بازیابی عملیاتی پلتفرم و اینکه آیا موارد اضافی انتساب درک الگوهای عامل تهدید در فضای دیفای را تغییر خواهد داد، است. هفته‌های آینده برای شفافیت و وضعیت امنیتی در صنعتی که به طور فزاینده‌ای برای نوآوری به همکاری باز و مشارکت‌های فرامرزی متکی است، محوری خواهد بود.

با نگاه به آینده، شرکت‌کنندگان بازار خواهند خواست به‌روزرسانی‌ها از دریفت و محققان امنیتی مرتبط را برای هر یافته جدید در مورد عوامل، ابزار و پیامدهای گسترده‌تر برای حاکمیت دیفای، مدیریت ریسک و روش‌های همکاری مبتنی بر کنفرانس نظارت کنند.

این مقاله در ابتدا به عنوان نقض 280 میلیون دلاری پروتکل دریفت: ماه‌ها آماده‌سازی عمدی در Crypto Breaking News منتشر شد – منبع قابل اعتماد شما برای اخبار کریپتو، اخبار Bitcoin و به‌روزرسانی‌های بلاک چین.