Một chiến dịch tình báo kéo dài sáu tháng đã diễn ra trước vụ khai thác trị giá 270 triệu đô la Mỹ của Drift Protocol và được thực hiện bởi một nhóm có liên hệ với nhà nước Triều Tiên, theo bản cập nhật sự cố chi tiết được nhóm công bố trước đó vào Chủ nhật.
Những kẻ tấn công lần đầu tiên thiết lập liên hệ vào khoảng mùa thu năm 270Mại một hội nghị crypto lớn, tự giới thiệu mình là một công ty giao dịch định lượng và muốn tích hợp với Drift.
Họ có hiểu biết vững về mặt kỹ thuật, có lý lịch chuyên môn có thể kiểm chứng và nắm rõ cách giao thức hoạt động, theo Drift cho biết. Một nhóm Telegram đã được thiết lập và những gì diễn ra sau đó là nhiều tháng trao đổi mang tính thực chất về các chiến lược giao dịch và tích hợp vault, những tương tác là thông lệ đối với việc các công ty giao dịch tiếp cận và onboarding với các giao thức DeFi.
Từ tháng 12 năm 2025 đến tháng 1 năm 2026, nhóm đã onboard một Ecosystem Vault trên Drift, tổ chức nhiều buổi làm việc với các cộng tác viên, nạp hơn 1 triệu đô la Mỹ vốn của chính họ, và xây dựng một sự hiện diện vận hành hoạt động được bên trong hệ sinh thái.
Các cộng tác viên của Drift đã gặp trực tiếp các cá nhân trong nhóm tại nhiều hội nghị ngành lớn ở một số quốc gia trong các tháng 2 và 3. Đến thời điểm cuộc tấn công được khởi động vào ngày 1 tháng 4, mối quan hệ đã kéo dài gần nửa năm.
Việc bị xâm phạm dường như đến từ hai vectơ.
Một vectơ tải xuống ứng dụng TestFlight, nền tảng của Apple để phân phối các ứng dụng phát hành trước (pre-release) mà bỏ qua bước thẩm định bảo mật của App Store, thứ mà nhóm giới thiệu là sản phẩm ví của họ.
Với vectơ liên quan đến repository, Drift chỉ ra một lỗ hổng đã được biết đến trong VSCode và Cursor, hai trong số những trình soạn thảo mã được sử dụng rộng rãi nhất trong phát triển phần mềm, mà cộng đồng bảo mật đã cảnh báo kể từ cuối năm 2025. Tại đó, chỉ cần mở một tệp hoặc thư mục trong trình soạn thảo đã đủ để âm thầm thực thi mã tùy ý mà không có lời nhắc hay cảnh báo nào.
Sau khi các thiết bị bị xâm phạm, kẻ tấn công đã có những gì cần thiết để lấy được hai phê duyệt multisig giúp kích hoạt cuộc tấn công durable nonce mà CoinDesk đã mô tả chi tiết trước đó trong tuần này. Những giao dịch đã được ký sẵn này đã nằm im hơn một tuần trước khi được thực thi vào ngày 1 tháng 4, rút cạn 270 triệu đô la Mỹ từ các vault của giao thức trong chưa đầy một phút.
Việc quy kết nhắm tới UNC4736, một nhóm có liên hệ với nhà nước Triều Tiên, cũng được theo dõi với tên AppleJeus hoặc Citrine Sleet, dựa trên cả dòng chảy vốn on-chain truy vết ngược về các kẻ tấn công Radiant Capital và sự trùng lặp trong hoạt động với các nhân vật được cho là có liên kết DPRK.
Tuy nhiên, những cá nhân xuất hiện trực tiếp tại các hội nghị không phải là công dân Triều Tiên. Các tác nhân đe doạ DPRK ở mức độ này được biết đến là triển khai các bên trung gian bên thứ ba với danh tính, lịch sử việc làm và mạng lưới chuyên môn đã được xây dựng đầy đủ để chịu được quá trình thẩm định kỹ lưỡng.
Drift đã thúc giục các giao thức khác kiểm toán các cơ chế kiểm soát truy cập và coi mọi thiết bị chạm tới một multisig là mục tiêu tiềm tàng. Hàm ý rộng hơn là điều gì đó đáng lo ngại đối với một ngành công nghiệp dựa vào quản trị bằng multisig như mô hình bảo mật chính của mình.
Nhưng nếu kẻ tấn công sẵn sàng bỏ ra sáu tháng và một triệu đô la Mỹ để xây dựng một sự hiện diện có vẻ hợp pháp trong một hệ sinh thái, gặp đội ngũ trực tiếp, đóng góp vốn thật, và chờ đợi, thì câu hỏi là: mô hình bảo mật nào được thiết kế để phát hiện điều đó.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Bộ trưởng Quốc phòng Israel nói rằng việc loại bỏ uranium được làm giàu khỏi Iran là điều kiện tiên quyết để chấm dứt xung đột
Bộ trưởng Quốc phòng Israel Katz đã công bố rằng các hoạt động quân sự của Israel, bao gồm “Cuộc chiến 12 ngày” chống lại Iran vào năm 2025, đã phá dỡ chương trình hạt nhân của Iran. Mỹ và Israel yêu cầu việc loại bỏ uranium đã làm giàu như một điều kiện để ngừng các hoạt động quân sự trong khu vực.
GateNews3giờ trước
IMF hạ dự báo tăng trưởng kinh tế thế giới năm 2026 xuống còn 3,1%, chiến sự tại Trung Đông là yếu tố kéo giảm chính
Tin tức từ Gate News, vào ngày 14 tháng 4, Quỹ Tiền tệ Quốc tế (IMF) đã công bố ấn bản mới nhất của báo cáo《Triển vọng Kinh tế Thế giới》, điều chỉnh giảm dự báo tăng trưởng kinh tế thế giới năm 2026 thêm 0,2 điểm phần trăm xuống còn 3,1%. Báo cáo cho biết, xung đột tại Trung Đông đã ảnh hưởng rõ rệt đến đà tăng trưởng kinh tế thế giới hiện tại. Nếu chiến sự và giá dầu cao tiếp tục trong thời gian dài hơn, tốc độ tăng trưởng kinh tế thế giới trong năm nay sẽ giảm xuống còn 2,5% hoặc thậm chí thấp hơn.
GateNews4giờ trước
Nauru bổ nhiệm doanh nhân tiền mã hóa Dadvan Yousuf làm ủy viên thương mại quốc tế, thúc đẩy chiến lược tài sản kỹ thuật số
Nauru bổ nhiệm doanh nhân tiền mã hóa Dadvan Yousuf làm ủy viên thương mại quốc tế, nhằm thúc đẩy chiến lược tài sản số, thu hút đầu tư toàn cầu, tăng cường hợp tác với các nhà cung cấp dịch vụ ảo và các doanh nghiệp công nghệ, đồng thời thúc đẩy Nauru trở thành trung tâm tài sản ảo.
GateNews7giờ trước
Reuters: Đoàn đại diện Mỹ và Iran sẽ tổ chức các cuộc đàm phán tại Pakistan vào cuối tuần này
Tin tức từ Gate News, ngày 14 tháng 4, theo Reuters dẫn lời các nguồn tin, các đoàn đại diện của Mỹ và Iran sẽ tiến hành đàm phán tại thủ đô Islamabad của Pakistan vào cuối tuần này.
GateNews10giờ trước
Nigel Farage đổ 2 triệu bảng Anh vào Bitcoin, trở thành nghị sĩ công khai nắm giữ tiền điện tử đầu tiên của Vương quốc Anh
Lãnh đạo đảng Reform UK Nigel Farage mua Bitcoin với khoảng 2 triệu bảng Anh, trở thành nghị sĩ quốc hội đương nhiệm đầu tiên công khai tiết lộ khoản đầu tư quy mô này. Hành động này thể hiện sự ủng hộ của đảng ông đối với tiền mã hóa, và có thể dẫn đến các cuộc thảo luận về ảnh hưởng cũng như xung đột lợi ích liên quan đến chính sách tiền mã hóa của Anh. Farage thực hiện khoản đầu tư thông qua Stack BTC, củng cố cả sự hậu thuẫn chính trị và tài chính cho mình.
MarketWhisper11giờ trước
Ngành ngân hàng Mỹ đặt câu hỏi về báo cáo lợi suất của stablecoin do Nhà Trắng công bố, lo ngại rủi ro rút tiền gửi
Các ngân hàng Mỹ đặt câu hỏi về báo cáo lợi suất stablecoin của Nhà Trắng, cho rằng báo cáo đã bỏ qua tác động của stablecoin đối với dòng tiền rút khỏi tiền gửi, có thể dẫn đến chi phí tài trợ tăng lên và giảm cho vay của các địa phương. Hiện hai bên đang đàm phán về dự luật tại Thượng viện; việc cấm thanh toán lãi suất bằng stablecoin là điểm gây tranh cãi trọng tâm.
GateNews12giờ trước
