پروتکل آخرین به‌روزرسانی امنیتی درباره سوءاستفاده اول آوریل را به اشتراک می‌گذارد

پروتکل Drift جزئیات مربوط به حمله سایبری 1 آوریل 2026 خود را افشا کرد و حملهای هماهنگ را که طی شش ماه ساخته شده بود، شرح داد. این صرافی غیر متمرکز اعلام کرد که این نقض امنیتی پس از جلسات حضوری، تعامل فنی و توزیع نرم‌افزار مخرب رخ داد. این حادثه که در 1 آوریل رخ داد، شامل مشارکت‌کنندگان آسیب‌دیده شد و منجر به خسارات تخمینی نزدیک به 280 میلیون دلار گردید.

پروتکل Drift مهندسی اجتماعی بلندمدت را ردیابی می‌کند

در یک مقاله X، پروتکل Drift اعلام کرد که حمله حدود اکتبر 2025 در یک کنفرانس بزرگ کریپتو آغاز شد. طبق گفته پروتکل Drift، افرادی که خود را به عنوان یک شرکت معاملاتی کمی معرفی می‌کردند، به مشارکت‌کنندگان نزدیک شدند و به دنبال یکپارچه‌سازی بودند.

با این حال، تعامل در همان‌جا متوقف نشد. این گروه به مدت شش ماه در چندین کنفرانس صنعتی جهانی به تعامل با مشارکت‌کنندگان ادامه داد. آنها سوابق حرفه‌ای تأیید شده را ارائه کردند و در طول جلسات حضوری مکرر، تسلط فنی خود را نشان دادند.

همچنین، آنها پس از تماس اولیه یک گروه تلگرامی تشکیل دادند. در طول زمان، آنها در مورد استراتژی‌های معاملاتی و یکپارچه‌سازی‌های بالقوه با مشارکت‌کنندگان بحث کردند. این بحث‌ها از الگوهای استاندارد پذیرش برای شرکت‌های معاملاتی در تعامل با پروتکل Drift پیروی می‌کرد.

از دسامبر 2025 تا ژانویه 2026، این گروه یک اکوسیستم را پذیرش کرد. آنها جزئیات استراتژی را ارسال کردند و بیش از 1 میلیون دلار در پروتکل سپرده‌گذاری کردند. در همین حال، آنها جلسات کاری برگزار کردند و سؤالات دقیق محصول را مطرح کردند.

نقض امنیتی مرتبط با ابزارهای مشترک و دسترسی به دستگاه

همانطور که مذاکرات یکپارچه‌سازی در فوریه و مارس 2026 پیشرفت کرد، اعتماد عمیق‌تر شد. مشارکت‌کنندگان دوباره در رویدادهای صنعتی با گروه ملاقات کردند و روابط موجود را تقویت کردند. با این حال، پروتکل Drift بعداً این تعاملات را به عنوان بردار نفوذ احتمالی شناسایی کرد. 

طبق گفته پروتکل Drift، مهاجمان در طول همکاری، مخازن و برنامه‌های مخرب را به اشتراک گذاشتند. این یک تضاد کامل با هشدار ZachXBT به Circle در مورد تأخیر حمله سایبری 280 میلیون دلاری است. گزارش شده است که یک مشارکت‌کننده یک مخزن کد را که به عنوان یک ابزار استقرار فرانت‌اند ارائه شده بود، کلون کرد. 

منبع: Arkham

یک مشارکت‌کننده دیگر یک برنامه TestFlight را که به عنوان یک محصول کیف پول توصیف شده بود، دانلود کرد. این اقدامات به طور بالقوه دستگاه‌ها را در معرض خطر قرار داد. برای بردار مخزن، پروتکل Drift به یک آسیب‌پذیری شناخته شده در VSCode و Cursor اشاره کرد. 

در طول دسامبر 2025 تا فوریه 2026، باز کردن فایل‌ها می‌توانست منجر به اجرای کد بی‌صدا بدون هشدار شود. پس از حمله سایبری، پروتکل Drift بررسی‌های قانونی را در دستگاه‌ها و حساب‌های آسیب‌دیده انجام داد. قابل توجه است که کانال‌های ارتباطی مهاجمان و بدافزار بلافاصله پس از اجرا پاک شدند.

انتساب و تلاش‌های تحقیقاتی در حال انجام

پروتکل Drift اعلام کرد که پس از شناسایی حمله سایبری، تمام عملکردهای پروتکل را مسدود کرده است. همچنین کیف پول‌های آسیب‌دیده را از ساختار چند امضایی خود حذف کرد و کیف پول‌های مهاجمان را در سراسر صرافی‌ها و پل‌ها علامت‌گذاری کرد. این شرکت Mandiant را برای حمایت از تحقیقات درگیر کرد. در همین حال، SEALs 911 تحلیلی را ارائه کرد که به یک گروه تهدید شناخته شده اشاره داشت.

با اطمینان متوسط تا بالا، صرافی غیر متمرکز این حمله را به عاملان پشت هک Radiant Capital در اکتبر 2024 مرتبط کرد. آن عملیات قبلاً به UNC4736 نسبت داده شده بود که به عنوان AppleJeus یا Citrine Sleet نیز شناخته می‌شود.

پروتکل Drift توضیح داد که افراد درگیر در جلسات حضوری، اتباع کره شمالی نبودند. در عوض، اشاره کرد که چنین عملیاتی اغلب از واسطه‌های شخص ثالث برای تعامل حضوری استفاده می‌کنند.

طبق گفته ZachXBT، این فعالیت منعکس‌کننده عملیات سایبری شناخته شده مرتبط با DPRK است که اغلب تحت چتر Lazarus گروه‌بندی می‌شوند. او توضیح داد که Lazarus به مجموعه‌ای از واحدهای هک اشاره دارد، در حالی که DPRK نشان‌دهنده وابستگی دولتی پشت آن عملیات است. او اشاره کرد که چنین گروه‌هایی از هویت‌های لایه‌ای، واسطه‌ها و ایجاد دسترسی بلندمدت قبل از اجرای حملات استفاده می‌کنند.

منبع: ZachXBT

ZachXBT اضافه کرد که جریان وجوه درون زنجیره‌ای مرتبط با حمله سایبری، همپوشانی‌هایی با کیف پول‌های مرتبط با حوادث قبلی مرتبط با DPRK، از جمله Radiant Capital، نشان می‌دهد. او همچنین شباهت‌های عملیاتی، از جمله تعاملات مرحله‌ای، تحویل بدافزار از طریق کانال‌های مورد اعتماد و پاکسازی سریع پس از اجرا را برجسته کرد.

پروتکل Drift تأکید کرد که همه امضاکنندگان چند امضایی در طول این حادثه از کیف پول‌های سرد استفاده کردند. این پروتکل به همکاری با مجریان قانون و شرکای قانونی برای تکمیل تحقیقات ادامه می‌دهد.