Nhóm liên kết với Triều Tiên tiến hành một chiến dịch kéo dài sáu tháng, cho phép vụ khai thác trị giá 285 triệu USD của Drift Protocol, Drift cho biết.

Drift Protocol cho biết vụ tấn công khiến nền tảng này mất khoảng 285 triệu USD là một chiến dịch tình báo có tổ chức, kéo dài khoảng sáu tháng và do một nhóm đe dọa liên kết với Triều Tiên thực hiện. Theo bản cập nhật sự cố chi tiết, kẻ tấn công dùng danh tính chuyên nghiệp giả, tổ chức các cuộc gặp trực tiếp tại hội nghị và triển khai công cụ phát triển độc hại để xâm nhập các cộng tác viên trước khi tiến hành rò rỉ.

Diễn biến vụ xâm nhập

Drift cho biết nhóm tấn công lần đầu tiếp cận các cộng tác viên vào mùa thu năm trước tại một hội nghị crypto lớn. Nhóm này tự giới thiệu như một công ty giao dịch định lượng nhằm tạo điều kiện để tích hợp với Drift.

Trong nhiều tháng, kẻ tấn công xây dựng niềm tin thông qua các cuộc gặp trực tiếp, phối hợp qua Telegram và đưa một Ecosystem Vault lên Drift. Nhóm cũng nộp một khoản tiền gửi vault trị giá 1 triệu USD từ vốn của chính họ, sau đó biến mất khi vụ khai thác xảy ra. Drift nêu rằng các cuộc trò chuyện và phần mềm độc hại liên quan đã bị “loại bỏ hoàn toàn” tại thời điểm khai thác.

Các phương thức kỹ thuật được nêu trong báo cáo

Theo Drift, vụ xâm nhập có thể liên quan đến một kho mã độc, một ứng dụng TestFlight giả và một lỗ hổng VSCode/Cursor cho phép thực thi mã mà người dùng không tương tác.

Nhận diện nhóm đe dọa

Drift đánh giá mức độ tin cậy “trung bình-cao” đối với UNC4736, còn được theo dõi với các tên AppleJeus hoặc Citrine Sleet. Đây là cùng một nhóm mà công ty an ninh Mandiant từng liên hệ với vụ hack Radiant Capital năm 2024.

Drift cũng cho biết những cá nhân gặp các cộng tác viên trực tiếp không phải là người Triều Tiên. Theo Drift, các tác nhân liên kết với DPRK thường sử dụng người trung gian để “gặp mặt trực tiếp”.

Về dấu hiệu trên chuỗi, Drift dẫn các nhận định từ SEAL 911 rằng lưu chuyển vốn và các nhân cách chồng chéo cho thấy khả năng có liên quan đến các tác nhân gắn với DPRK. Tuy nhiên, Mandiant được nêu là chưa xác nhận phân bổ, đang chờ điều tra pháp y theo nền tảng này.

Tác động và cảnh báo cho ngành

Phó Chủ tịch Chiến lược tại Cyvers, ông Michael Pearl, nhận xét rằng Drift và Bybit cùng phản ánh một khuôn mẫu: người ký không bị xâm nhập trực tiếp ở cấp độ giao thức, mà bị lừa để phê duyệt các giao dịch độc hại.

Ông cho rằng vấn đề cốt lõi không nằm ở số lượng người ký, mà ở việc thiếu hiểu biết về ý định của giao dịch. Pearl cũng nêu rằng ví multisignature, dù được cải thiện so với mô hình một chìa khóa, có thể tạo cảm giác an toàn giả tạo. Khi trách nhiệm được chia sẻ, mức độ giám sát giữa các người ký có thể giảm.

Về hướng phòng thủ, ông nhấn mạnh an ninh cần chuyển sang xác thực trước giao dịch ở cấp độ chuỗi khối, nơi giao dịch được mô phỏng và xác thực độc lập trước khi thực thi. Theo Pearl, khi kẻ tấn công kiểm soát những gì người dùng thấy, biện pháp hiệu quả nhất là xác thực những gì một giao dịch thực sự làm, bất kể giao diện hiển thị.

Rủi ro từ công cụ phát triển và môi trường ký

Liên quan đến bề mặt tấn công từ công cụ phát triển, chuyên gia Lavid cho rằng giả định phải thay đổi từ “không bị xâm nhập” sang “điểm cuối đã bị xâm nhập”. Ông nói với Decrypt rằng IDE, kho mã, ứng dụng di động và môi trường ký là các điểm vào ngày càng phổ biến. Nếu các công cụ nền tảng này bị tổn thương, bất kỳ thứ gì hiển thị cho người dùng—bao gồm cả giao dịch—có thể bị thao túng.

Lavid nhấn mạnh điều này “cơ bản phá vỡ các giả định an toàn truyền thống”, khiến nhóm không thể tin tưởng vào “giao diện, thiết bị, hay thậm chí quá trình ký”.

Nhận định mở rộng từ các chuyên gia

Nhà nghiên cứu an ninh @tayvano_, một trong những chuyên gia Drift ghi nhận sự giúp đỡ trong việc xác định các tác nhân độc hại, cho rằng mức độ phơi nhiễm có thể vượt ra ngoài vụ việc này. Trong một tweet, chuyên gia liệt kê hàng chục giao thức DeFi và cáo buộc “các nhân viên CNT Triều Tiên” đã xây dựng các giao thức mà cộng đồng biết và sử dụng từ mùa hè của làn sóng DeFi.