Một chiến dịch thu thập tình báo kéo dài sáu tháng đã đi trước vụ khai thác trị giá 270 triệu USD nhắm vào Drift Protocol và được thực hiện bởi một nhóm có liên hệ với nhà nước Triều Tiên, theo bản cập nhật chi tiết về sự cố được nhóm công bố trước đó vào Chủ nhật.
Những kẻ tấn công lần đầu tiếp xúc vào khoảng mùa thu năm 270Mại một hội nghị crypto lớn, nơi họ giới thiệu mình là một công ty giao dịch định lượng, với mục tiêu tích hợp với Drift.
Drift cho biết họ am hiểu về mặt kỹ thuật, có lý lịch nghề nghiệp có thể kiểm chứng, và hiểu rõ cách giao thức vận hành. Một nhóm Telegram đã được thành lập và những gì diễn ra sau đó là nhiều tháng các cuộc trò chuyện đi sâu về chiến lược giao dịch và tích hợp vault—những tương tác tiêu chuẩn mà các công ty giao dịch thực hiện khi onboard với các giao thức DeFi.
Trong giai đoạn từ tháng 12 năm 2025 đến tháng 1 năm 2026, nhóm đã onboard một Ecosystem Vault trên Drift, tổ chức nhiều buổi làm việc với các cộng tác viên, nạp hơn 1 triệu USD vốn của chính họ, và xây dựng một sự hiện diện vận hành có tính thực thi bên trong hệ sinh thái.
Các cộng tác viên của Drift đã gặp trực tiếp những người trong nhóm tại nhiều hội nghị ngành lớn ở nhiều quốc gia khác nhau trong các tháng từ tháng 2 đến tháng 3. Đến thời điểm cuộc tấn công được khởi động vào ngày 1 tháng 4, mối quan hệ đã kéo dài gần nửa năm.
Sự xâm nhập dường như đến từ hai vector.
Vector thứ hai đã tải xuống một ứng dụng TestFlight—nền tảng của Apple để phân phối các ứng dụng chưa phát hành chính thức, bỏ qua việc kiểm tra an ninh của App Store—và nhóm đã giới thiệu nó như sản phẩm ví của họ.
Đối với vector liên quan đến repository, Drift chỉ ra một lỗ hổng đã được biết đến trong VSCode và Cursor—hai trong số các trình soạn thảo mã được sử dụng rộng rãi nhất trong phát triển phần mềm—mà cộng đồng an ninh đã cảnh báo từ cuối năm 2025. Theo đó, chỉ cần mở một tệp hoặc thư mục trong trình soạn thảo là đủ để âm thầm thực thi mã tùy ý mà không cần bất kỳ lời nhắc hay cảnh báo nào.
Sau khi các thiết bị bị xâm nhập, những kẻ tấn công đã có đủ thứ cần thiết để nhận được hai phê duyệt multisig cho phép cuộc tấn công durable nonce mà CoinDesk đã nêu chi tiết trước đó trong tuần này. Các giao dịch đã được ký sẵn đó đã nằm im hơn một tuần trước khi được thực thi vào ngày 1 tháng 4, rút cạn 270 triệu USD từ các vault của giao thức trong chưa đầy một phút.
Quy kết nhắm tới UNC4736, một nhóm có liên hệ với nhà nước Triều Tiên, còn được theo dõi với các tên AppleJeus hoặc Citrine Sleet, dựa trên cả dòng chảy quỹ trên chuỗi dẫn ngược về những kẻ tấn công Radiant Capital và sự trùng lặp về mặt hoạt động với các nhân vật được biết là có liên kết với DPRK.
Tuy nhiên, những cá nhân xuất hiện trực tiếp tại các hội nghị không phải là công dân Triều Tiên. Các tác nhân đe doạ DPRK ở cấp độ này được biết đến là sẽ triển khai các bên trung gian bên thứ ba với danh tính hoàn chỉnh, lịch sử việc làm và mạng lưới chuyên môn đã được xây dựng để chống chịu thẩm định kỹ lưỡng.
Drift đã kêu gọi các giao thức khác kiểm toán cơ chế kiểm soát truy cập và coi mọi thiết bị chạm tới một multisig như một mục tiêu tiềm năng. Hàm ý rộng hơn là điều không mấy thoải mái đối với một ngành công nghiệp dựa vào governance bằng multisig như mô hình bảo mật chính.
Nhưng nếu kẻ tấn công sẵn sàng bỏ ra sáu tháng và một triệu USD để xây dựng một sự hiện diện hợp pháp bên trong hệ sinh thái, gặp các đội ngũ trực tiếp, đóng góp vốn thực và chờ đợi, thì câu hỏi là: mô hình bảo mật nào được thiết kế để bắt được điều đó.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Dennis Porter: Mỹ coi Bitcoin là công cụ an ninh quốc gia
Dennis Porter, nhà sáng lập Satoshi Action, cho biết chính phủ và quân đội Mỹ đang thay đổi quan điểm về Bitcoin từ một khoản đầu tư thuần túy sang một thành phần quan trọng của an ninh quốc gia. Theo Porter, Bitcoin ngày càng được xem như một “an ninh quốc gia
CryptoFrontier38phút trước
Các chủ nợ Triều Tiên giành lệnh cấm trên 30.766 ETH của Arbitrum vào ngày 1 tháng 5
Theo The Block, vào ngày 1 tháng 5, các luật sư đại diện cho các chủ nợ liên quan đến khủng bố của Triều Tiên đã tống đạt thông báo cấm tạm thời cho Arbitrum DAO, ngăn việc giải phóng 30.766 ETH (~71,1 triệu USD) mà Hội đồng Bảo mật Arbitrum đã phong tỏa vào ngày 20 tháng 4 sau vụ khai thác lỗ hổng Kelp DAO. Thông báo nêu tên Arbitrum DAO
GateNews2giờ trước
Reuters liên kết người sáng lập Nobitex với gia tộc Kharrazi thuộc giới tinh hoa của Iran; Sàn giao dịch xử lý 70% lượng crypto của Iran
Theo một cuộc điều tra của Reuters được công bố vào thứ Sáu, ngày 2 tháng 5, Nobitex, sàn giao dịch tiền mã hóa thống trị của Iran với khoảng 11 triệu người dùng, được thành lập bởi hai anh em Ali và Mohammad Kharrazi, là thành viên của một gia đình có quan hệ hôn nhân với cả ba nhà lãnh đạo tối cao của Iran. Hai anh em đã đăng ký công ty
GateNews3giờ trước
Ngân hàng Trung ương Brazil Cấm Thanh toán Crypto trong Các Giao dịch Thanh toán Vượt biên
Ngân hàng trung ương Brazil đã cấm stablecoin và tiền mã hóa được sử dụng để thanh toán bù trừ trong các giao dịch thanh toán xuyên biên giới, theo thông báo.
Phạm vi của lệnh cấm
Hạn chế này áp dụng cụ thể đối với các fintech và công ty thanh toán, qua đó về cơ bản đóng lại tuyến thanh toán ở hậu trường cho các giao dịch xuyên biên
CryptoFrontier8giờ trước
Các rào chắn của Canton Network có thể chặn các hacker Triều Tiên, theo giám đốc điều hành tài sản số
Theo CEO Digital Asset Yuval Rooz, thiết kế hàng rào bảo vệ (guardrail) của mạng Canton có thể ngăn các nhóm tin tặc liên quan đến Triều Tiên hoạt động trong hệ sinh thái của nó, khi DeFi đang phải đối mặt với các mối đe dọa ngày càng gia tăng từ các tác nhân được nhà nước hậu thuẫn. Rooz nói với Decrypt rằng các tổ chức tài chính đã hỏi về các biện pháp phòng thủ chống lại…
GateNews10giờ trước
Reuters: Nền tảng Nobitex do một gia tộc chính trị tinh hoa của Iran thành lập, nắm 70% hoạt động crypto của quốc gia
Theo một cuộc điều tra của Reuters được đăng vào thứ Sáu, Nobitex, sàn giao dịch crypto thống trị của Iran với khoảng 11 triệu người dùng, được thành lập bởi hai anh em Ali và Mohammad Kharrazi, là thành viên của một gia đình có quan hệ chặt chẽ với các lãnh đạo tối cao của Iran. Hai anh em đã đăng ký công ty vào năm 2018 theo một…
GateNews13giờ trước
