هک ۲۸۵ میلیون دلاری Drift Protocol شش ماه طول کشید، گروه کره شمالی مقصر شناخته شد

۱ آوریل ۲۰۲۶ بهره برداری of سولاناپروتکل Drift مبتنی بر - که تقریباً 285 میلیون دلار از این پلتفرم را به هدر داد، یک حمله خودجوش نبود. طبق گزارش اولیه Drift تحقیق، این نتیجه یک عملیات اطلاعاتی ساختاریافته بود که حداقل شش ماه قبل آغاز شده بود و با اطمینان متوسط ​​رو به بالا به UNC4736 نسبت داده می‌شد، یک گروه تهدید وابسته به دولت کره شمالی که با نام‌های AppleJeus یا Citrine Sleet نیز ردیابی می‌شود.

هک پروتکل Drift چگونه آغاز شد؟

طبق گفته تیم Drift Protocol، این عملیات در یک کنفرانس بزرگ کریپتو در پاییز ۲۰۲۵ آغاز شد، جایی که افرادی به عنوان یک شرکت معاملات کمی به مشارکت‌کنندگان Drift مراجعه کردند. آنچه در پی آن رخ داد، یک تلاش فیشینگ سریع نبود. این یک کمپین عمدی و چند ماهه برای ایجاد رابطه بود که در چندین جلسه حضوری، در چندین کنفرانس صنعتی و در چندین کشور انجام شد.

این گروه از نظر فنی مسلط بودند، پیشینه حرفه‌ای قابل اثباتی داشتند و آشنایی دقیقی با نحوه عملکرد Drift نشان دادند. پس از اولین جلسه، یک گروه تلگرامی تشکیل شد و بحث‌های اساسی در مورد استراتژی‌های معاملاتی و ادغام خزانه‌ها ماه‌ها ادامه یافت. تیم Drift خاطرنشان کرد که این تعاملات کاملاً با نحوه تعامل معمول شرکت‌های تجاری مشروع با این پروتکل مطابقت دارد.

از دسامبر ۲۰۲۵ تا ژانویه ۲۰۲۶، این گروه یک صندوق اکوسیستم در Drift راه‌اندازی کرد. این فرآیند شامل ارسال جزئیات استراتژی از طریق یک فرم پذیرش رسمی، شرکت در جلسات کاری متعدد با مشارکت‌کنندگان Drift و واریز بیش از ۱ میلیون دلار از سرمایه خودشان بود. آن‌ها با دقت و حوصله، حضور عملیاتی کارآمدی را در داخل پروتکل ایجاد کردند.

ماه‌های پایانی قبل از بهره‌برداری

گفتگوهای ادغام تا فوریه و مارس ۲۰۲۶ ادامه یافت. اعضای Drift دوباره با افرادی از گروه، حضوری، در رویدادهای مهم صنعتی ملاقات کردند. وقتی آوریل از راه رسید، این رابطه تقریباً شش ماهه شده بود. اینها غریبه نبودند. آنها افرادی بودند که تیم Drift در کنار آنها کار کرده و چندین بار رو در رو ملاقات کرده بود.

در طول این دوره، این گروه لینک‌هایی به پروژه‌ها، ابزارها و برنامه‌هایی که ادعا می‌کردند در حال ساخت آنها هستند، به اشتراک گذاشت. به اشتراک گذاشتن چنین منابعی، رویه استاندارد در روابط شرکت‌های تجاری است، و دقیقاً همان چیزی است که آن را به یک مکانیسم تحویل مؤثر تبدیل کرده است.

بردارهای حمله فنی چه بودند؟

پس از سوءاستفاده در اول آوریل، Drift یک بررسی پزشکی قانونی از دستگاه‌ها، حساب‌ها و تاریخچه ارتباطات آسیب‌دیده انجام داد. چت‌های تلگرام و نرم‌افزارهای مخرب مورد استفاده این گروه، در لحظه وقوع حمله کاملاً پاک شده بودند. تحقیقات Drift سه بردار نفوذ احتمالی را شناسایی کرد:

• ممکن است یکی از مشارکت‌کنندگان پس از کپی کردن مخزن کدی که گروه به اشتراک گذاشته بود، که به عنوان ابزاری برای استقرار frontend برای vault آنها ارائه شده بود، در معرض خطر قرار گرفته باشد.
• یکی دیگر از شرکت‌کنندگان ترغیب شد تا برنامه TestFlight را دانلود کند که این گروه آن را به عنوان محصول کیف پول خود توصیف کرده بود. TestFlight پلتفرم اپل برای توزیع نسخه‌های بتای برنامه‌های iOS قبل از انتشار عمومی آنهاست.
• برای بردار مبتنی بر مخزن، سازوکار احتمالی، یک آسیب‌پذیری شناخته‌شده در ویرایشگرهای کد VSCode و Cursor بود که محققان امنیتی به‌طور فعال بین دسامبر ۲۰۲۵ و فوریه ۲۰۲۶ آن را علامت‌گذاری کرده بودند. باز کردن یک فایل، پوشه یا مخزن در ویرایشگر آسیب‌دیده برای اجرای بی‌سروصدای کد دلخواه، بدون هیچ اعلان، هشدار، پنجره‌ی مجوز یا هیچ نشانه‌ی قابل مشاهده‌ای برای کاربر، کافی بود.

تجزیه و تحلیل کامل پزشکی قانونی از سخت‌افزار آسیب‌دیده در زمان انتشار هنوز در حال انجام بود.

حمله با چه سرعتی انجام شد؟

راه‌اندازی این شبکه شاید شش ماه طول کشیده باشد، اما اجرا سریع بود. به محض اینکه کنترل پروتکل از دست ادمین خارج شد، سرمایه واقعی کاربران در کمتر از ۱۲ دقیقه تخلیه شد. کل ارزش قفل شده (TVL) دریفت در کمتر از یک ساعت از تقریباً ۵۵۰ میلیون دلار به زیر ۳۰۰ میلیون دلار کاهش یافت. توکن DRIFT در طول این حادثه بیش از ۴۰ درصد سقوط کرد. شرکت امنیتی PeckShield تأیید کرد که کل ضرر از ۲۸۵ میلیون دلار فراتر رفته است که بیش از ۵۰ درصد از TVL پروتکل در آن زمان را نشان می‌دهد.

تیم دریفت در طول این هرج و مرج در X پستی منتشر کرد تا صحت ماجرا را تایید کند و نوشت: «این شوخی اول آوریل نیست. تا اطلاع ثانوی با احتیاط عمل کنید.» با شروع تحقیقات، تمام واریزها و برداشت‌ها به حالت تعلیق درآمد.

پروژه‌های امیدبخش را کشف کنید...

پروژه‌های نویدبخش ...

(تبلیغات)

ادامه مقاله...

۲۸۵ میلیون دلار کجا رفت؟

مهاجم پس از سوءاستفاده، به سرعت برای پنهان کردن رد سرمایه اقدام کرد. دارایی‌های سرقت شده به USDC و SOL تبدیل شدند، سپس با استفاده از پروتکل انتقال بین زنجیره‌ای (CCTP) شرکت Circle از Solana به اتریوم منتقل شدند. CCTP زیرساخت پل‌سازی بومی Circle است که به USDC اجازه می‌دهد بدون نیاز به پوشش، بین بلاکچین‌های مختلف جابجا شود. در اتریوم، سرمایه‌ها به ETH تبدیل شدند. ردیابی درون زنجیره‌ای تأیید کرد که مهاجم در نهایت ۱۲۹۰۶۶ ETH، به ارزش تقریبی ۲۷۳ میلیون دلار در آن زمان، جمع‌آوری کرده است.

مهاجم همچنین SOL را در HyperLiquid و Binance واریز کرد و فعالیت را در چندین پلتفرم گسترش داد تا تلاش‌های ردیابی را پیچیده‌تر کند.

آیا Circle به اندازه کافی سریع پاسخ داد؟

زک ایکس‌بی‌تی، محقق درون زنجیره‌ای، پس از این سوءاستفاده، علناً از سیرکل انتقاد کرد و خاطرنشان کرد که مقادیر زیادی از USDC دزدیده شده در ساعات کاری ایالات متحده از سولانا به اتریوم منتقل شده است، بدون اینکه مسدود شود. زک ایکس‌بی‌تی این موضوع را با تصمیم اخیر سیرکل برای مسدود کردن ۱۶ کیف پول گرم شرکتی نامرتبط در یک پرونده مدنی مهر و موم شده در ایالات متحده مقایسه کرد و استدلال کرد که سیرکل هم توانایی فنی و هم سابقه روشنی برای مداخله داشته است، اما نتوانسته به اندازه کافی سریع عمل کند تا خسارت را محدود کند.

چه کسی پشت این حمله است؟

با اطمینان متوسط ​​رو به بالا و با پشتیبانی تحقیقات انجام شده توسط تیم SEALS 911، تحقیقات Drift این عملیات را به همان عوامل تهدیدی که مسئول هک Radiant Capital در اکتبر 2024 بودند، نسبت می‌دهد. آن حمله رسماً توسط Mandiant به UNC4736، یک گروه وابسته به دولت کره شمالی، نسبت داده شد.

اساس این ارتباط هم درون زنجیره‌ای و هم عملیاتی است. جریان‌های مالی مورد استفاده برای مرحله‌بندی و آزمایش عملیات Drift، به کیف پول‌های مرتبط با مهاجمان Radiant برمی‌گردند. علاوه بر این، شخصیت‌های به کار گرفته شده در سراسر کمپین Drift، همپوشانی‌های قابل شناسایی با الگوهای فعالیت مرتبط با کره شمالی دارند.

یک توضیح مهم از تیم دریفت: افرادی که شخصاً در کنفرانس‌ها حاضر شدند، تبعه کره شمالی نبودند. در این سطح از عملیات، مشخص است که عوامل تهدید مرتبط با کره شمالی، واسطه‌های شخص ثالث را برای مدیریت روابط رو در رو به کار می‌گیرند و عوامل واقعی را از خود دور نگه می‌دارند.

مندینت رسماً برای تحقیقات وارد عمل شده است، اما هنوز رسماً عامل سوءاستفاده از Drift را مشخص نکرده است. این تشخیص مستلزم بررسی‌های کامل دستگاه است که همچنان ادامه دارد.

اقدامات واکنشی فعلی

از زمان انتشار، Drift اقدامات زیر را انجام داده است:

• تمام عملکردهای پروتکل باقی مانده مسدود شده‌اند
• کیف پول‌های آلوده از سیستم چندامضایی حذف شده‌اند
• کیف پول‌های مهاجم در صرافی‌ها و اپراتورهای پل شناسایی شده‌اند
• مندینت به عنوان شریک اصلی پزشکی قانونی مشغول به کار شده است

دریفت اظهار داشت که این جزئیات را به صورت عمومی به اشتراک می‌گذارد تا سایر تیم‌های موجود در این اکوسیستم بتوانند بفهمند که این نوع حمله واقعاً چگونه است و بر این اساس، اقداماتی را برای محافظت از خود انجام دهند.

نتیجه

هک پروتکل دریفت داستانی در مورد یک آسیب‌پذیری کد که از ممیزی عبور کرده نیست. این داستانی در مورد فریب مداوم انسانی است. مهاجمان شش ماه را صرف ایجاد اعتبار از طریق جلسات حضوری، یکپارچه‌سازی خزانه فعال و بیش از ۱ میلیون دلار از سرمایه سپرده‌گذاری شده خود کردند تا اینکه در عرض ۱۲ دقیقه ۲۸۵ میلیون دلار را از بین بردند.

 بردارهای فنی، یک مخزن کد مخرب و یک برنامه TestFlight جعلی، دقیقاً به این دلیل مؤثر بودند که اعتماد لازم برای باز کردن آنها از قبل با دقت ایجاد شده بود. 

برای پروتکل‌های دیفای، درس عبرتی که می‌توان گرفت این است: سطح حمله محدود به قراردادهای هوشمند نیست. این سطح شامل هر دستگاه مشارکت‌کننده، هر مخزن شخص ثالث و هر رابطه‌ای که در یک کنفرانس صنعتی ایجاد می‌شود، می‌شود. UNC4736 اکنون این موضوع را دو بار نشان داده است، ابتدا در Radiant Capital در اکتبر 2024 و دوباره در Drift در آوریل 2026، هر بار با همان رویکرد صبورانه و مبتنی بر منابع.

منابع

1. پروتکل دریفت روی ایکس: ارسال در ۱ مارس

2. پک‌شیلد روی ایکس: پست‌ها (۱-۲ آوریل)

3. Lookonchain در X: پست‌ها (۱-۲ آوریل)