Drift cho biết vụ khai thác trị giá 270 triệu đô la là một chiến dịch tình báo kéo dài sáu tháng của Triều Tiên

Một chiến dịch tình báo kéo dài sáu tháng đã diễn ra trước vụ khai thác trị giá 270 triệu đô la Mỹ của Drift Protocol và được thực hiện bởi một nhóm có liên hệ với nhà nước Triều Tiên, theo bản cập nhật sự cố chi tiết được nhóm công bố trước đó vào Chủ nhật.

Những kẻ tấn công lần đầu tiên thiết lập liên hệ vào khoảng mùa thu năm 270Mại một hội nghị crypto lớn, tự giới thiệu mình là một công ty giao dịch định lượng và muốn tích hợp với Drift.

Họ có hiểu biết vững về mặt kỹ thuật, có lý lịch chuyên môn có thể kiểm chứng và nắm rõ cách giao thức hoạt động, theo Drift cho biết. Một nhóm Telegram đã được thiết lập và những gì diễn ra sau đó là nhiều tháng trao đổi mang tính thực chất về các chiến lược giao dịch và tích hợp vault, những tương tác là thông lệ đối với việc các công ty giao dịch tiếp cận và onboarding với các giao thức DeFi.

Từ tháng 12 năm 2025 đến tháng 1 năm 2026, nhóm đã onboard một Ecosystem Vault trên Drift, tổ chức nhiều buổi làm việc với các cộng tác viên, nạp hơn 1 triệu đô la Mỹ vốn của chính họ, và xây dựng một sự hiện diện vận hành hoạt động được bên trong hệ sinh thái.

Các cộng tác viên của Drift đã gặp trực tiếp các cá nhân trong nhóm tại nhiều hội nghị ngành lớn ở một số quốc gia trong các tháng 2 và 3. Đến thời điểm cuộc tấn công được khởi động vào ngày 1 tháng 4, mối quan hệ đã kéo dài gần nửa năm.

Việc bị xâm phạm dường như đến từ hai vectơ.

Một vectơ tải xuống ứng dụng TestFlight, nền tảng của Apple để phân phối các ứng dụng phát hành trước (pre-release) mà bỏ qua bước thẩm định bảo mật của App Store, thứ mà nhóm giới thiệu là sản phẩm ví của họ.

Với vectơ liên quan đến repository, Drift chỉ ra một lỗ hổng đã được biết đến trong VSCode và Cursor, hai trong số những trình soạn thảo mã được sử dụng rộng rãi nhất trong phát triển phần mềm, mà cộng đồng bảo mật đã cảnh báo kể từ cuối năm 2025. Tại đó, chỉ cần mở một tệp hoặc thư mục trong trình soạn thảo đã đủ để âm thầm thực thi mã tùy ý mà không có lời nhắc hay cảnh báo nào.

Sau khi các thiết bị bị xâm phạm, kẻ tấn công đã có những gì cần thiết để lấy được hai phê duyệt multisig giúp kích hoạt cuộc tấn công durable nonce mà CoinDesk đã mô tả chi tiết trước đó trong tuần này. Những giao dịch đã được ký sẵn này đã nằm im hơn một tuần trước khi được thực thi vào ngày 1 tháng 4, rút cạn 270 triệu đô la Mỹ từ các vault của giao thức trong chưa đầy một phút.

Việc quy kết nhắm tới UNC4736, một nhóm có liên hệ với nhà nước Triều Tiên, cũng được theo dõi với tên AppleJeus hoặc Citrine Sleet, dựa trên cả dòng chảy vốn on-chain truy vết ngược về các kẻ tấn công Radiant Capital và sự trùng lặp trong hoạt động với các nhân vật được cho là có liên kết DPRK.

Tuy nhiên, những cá nhân xuất hiện trực tiếp tại các hội nghị không phải là công dân Triều Tiên. Các tác nhân đe doạ DPRK ở mức độ này được biết đến là triển khai các bên trung gian bên thứ ba với danh tính, lịch sử việc làm và mạng lưới chuyên môn đã được xây dựng đầy đủ để chịu được quá trình thẩm định kỹ lưỡng.

Drift đã thúc giục các giao thức khác kiểm toán các cơ chế kiểm soát truy cập và coi mọi thiết bị chạm tới một multisig là mục tiêu tiềm tàng. Hàm ý rộng hơn là điều gì đó đáng lo ngại đối với một ngành công nghiệp dựa vào quản trị bằng multisig như mô hình bảo mật chính của mình.

Nhưng nếu kẻ tấn công sẵn sàng bỏ ra sáu tháng và một triệu đô la Mỹ để xây dựng một sự hiện diện có vẻ hợp pháp trong một hệ sinh thái, gặp đội ngũ trực tiếp, đóng góp vốn thật, và chờ đợi, thì câu hỏi là: mô hình bảo mật nào được thiết kế để phát hiện điều đó.