حمله ۲۷۰ میلیون دلاری به Drift | شش ماه نفوذ کره شمالی قبل از اجرای حمله | خزانه‌ها در کمتر از یک دقیقه خالی شد

به گزارش اقتصادنیوز، تیم Drift Protocol فاش کرد که حمله اخیر ۲۷۰ میلیون دلاری، نتیجه یک عملیات اطلاعاتی شش‌ماهه وابسته به کره شمالی بوده است؛ مهاجمان با ایجاد اعتماد و سرمایه‌گذاری واقعی در اکوسیستم، توانستند خزانه‌ها را در کمتر از یک دقیقه خالی کنند.

در این عملیات، مهاجمان ابتدا خود را یک شرکت معامله‌گری معتبر معرفی کردند، با تیم Drift ماه‌ها در تعامل بودند و بیش از یک میلیون دلار سرمایه واقعی وارد اکوسیستم کردند. حضور آنها در چندین کنفرانس بین‌المللی و استفاده از آسیب‌پذیری‌های نرم‌افزاری مانند VSCode و TestFlight اپل، به آنها اجازه داد تا پس از شش ماه، حمله‌ای بی‌سابقه را با موفقیت اجرا کنند و ۲۷۰ میلیون دلار از خزانه‌های Drift خارج شود.

به گزارش کوین‌دسک، تیم Drift Protocol در یک به‌روزرسانی کامل که روز یکشنبه منتشر شد، جزئیات حمله ۲۷۰ میلیون دلاری اخیر را به اشتراک گذاشت و آن را یک عملیات اطلاعاتی شش‌ماهه وابسته به دولت کره شمالی دانست. این گروه با جعل هویت یک شرکت معامله‌گری معتبر، ابتدا اعتماد تیم Drift را جلب کردند، سپس بیش از یک میلیون دلار سرمایه خود را وارد اکوسیستم کردند و پس از شش ماه انتظار، اقدام به خالی کردن خزانه‌ها کردند.

نفوذ طولانی؛ شش ماه اعتماد‌سازی و حضور عملیاتی

طبق گزارش Drift، مهاجمان برای اولین بار در پاییز ۲۰۲۵ در یک کنفرانس بزرگ رمزارزی ظاهر شدند و خود را یک شرکت معامله‌گری کمی (Quantitative Trading) معرفی کردند که قصد دارد با Drift ادغام شود. آنها از نظر فنی ماهر بودند، سوابق حرفه‌ای قابل تأیید داشتند و عملکرد پروتکل را به خوبی می‌دانستند.

یک گروه تلگرامی ایجاد شد و ماه‌ها گفتگوهای فنی درباره استراتژی‌های معامله و ادغام خزانه‌ها (Vault) در جریان بود، تعاملاتی که برای ورود شرکت‌های معامله‌گری به پروتکل‌های دیفای معمول است. بین دسامبر ۲۰۲۵ تا ژانویه ۲۰۲۶، این گروه یک Ecosystem Vault در Drift راه‌اندازی کرد، جلسات کاری متعددی با تیم برگزار کرد، بیش از یک میلیون دلار سرمایه واقعی وارد اکوسیستم نمود و حضور عملیاتی واقعی خود را تثبیت کرد.

اعضای تیم Drift در طول فوریه و مارس با افراد این گروه در چندین کنفرانس بزرگ بین‌المللی حضوری ملاقات کردند. در زمان اجرای حمله در اول آوریل ۲۰۲۶، این رابطه نزدیک به شش ماه دوام داشت.

دو مسیر نفوذ؛ از TestFlight تا VSCode

حملات ظاهراً از دو مسیر اصلی انجام شد:

۱. اپلیکیشن TestFlight اپل: مهاجمان یک نسخه آزمایشی کیف پول خود را از طریق پلتفرم TestFlight ارائه کردند که به بررسی‌های امنیتی App Store دور زده شد.

۲. آسیب‌پذیری در ویرایشگرهای کد VSCode و Cursor: این آسیب‌پذیری که از اواخر ۲۰۲۵ توسط جامعه امنیتی هشدار داده شده بود، به مهاجمان اجازه می‌داد با باز کردن یک فایل یا پوشه کد دلخواه را بدون هیچ هشدار یا اجازه‌ای اجرا کنند.

پس از نفوذ به دستگاه‌ها، مهاجمان توانستند دو تأیید چندامضایی (multisig approvals) لازم برای اجرای حمله Durable Nonce را به دست آورند. این تراکنش‌های پیش‌امضا شده بیش از یک هفته غیرفعال ماندند و سرانجام در اول آوریل اجرا شدند و در کمتر از یک دقیقه، ۲۷۰ میلیون دلار از خزانه‌های پروتکل خارج شد.

ارتباط با کره شمالی؛ UNC4736 یا AppleJeus

بر اساس ردیابی جریان وجوه در زنجیره بلاکچین و همپوشانی عملیاتی با شخصیت‌های شناخته شده کره شمالی، تیم Drift گروه مهاجم را به UNC4736 نسبت داد که با نام‌های AppleJeus یا Citrine Sleet نیز شناخته می‌شود.

نکته مهم این است که افرادی که در کنفرانس‌ها حضور پیدا کردند شهروند کره شمالی نبودند. مهاجمان سطح بالا کره شمالی معمولاً از واسط‌های شخص ثالث با هویت‌های کامل و سابقه شغلی مستند استفاده می‌کنند تا بررسی‌های دقیق تیم‌ها را پشت سر بگذارند.

هشدار Drift؛ بازنگری در امنیت چندامضایی

تیم Drift به سایر پروتکل‌ها توصیه کرده است کنترل‌های دسترسی خود را بازبینی کنند و هر دستگاهی که به امضای چندامضایی دسترسی دارد را هدف بالقوه تهدید بدانند.

این اتفاق سوالی مهم برای کل صنعت دیفای ایجاد می‌کند: اگر مهاجمان حاضرند شش ماه و یک میلیون دلار سرمایه صرف کنند، حضور قانونی بسازند، با تیم‌ها حضوری ملاقات کنند و صبر کنند، چه مدلی از امنیت می‌تواند چنین تهدیدی را شناسایی و متوقف کند؟