Краткое изложение основных моментов инцидента с безопасностью протокола Drift в апреле 2026 года:
1. Суть атаки
* Это организованная разведывательная кампания, тщательно подготовленная в течение как минимум 6 месяцев (начиная с осени 2025 года).
* Замысловатая комбинация социальных манипуляций (social engineering) и уязвимостей программного обеспечения.
2. Тактика создания доверия
* Атакующий выдает себя за авторитетный количественный инвестиционный фонд, встречается непосредственно с командой Drift на нескольких международных конференциях для установления отношений.
* Они демонстрируют свои способности, вложив более 1 миллиона долларов США в протокол и активно участвуя в профессиональных мероприятиях (Ecosystem Vault).
3. Методы вторжения (вектор атаки)
* Вредоносный код: Обман сотрудников Drift для загрузки (клон) репозиториев с вредоносным кодом.
* Ложное приложение: Соблазн установки приложения через TestFlight под предлогом продукта кошелька.
* Уязвимость редактора: Использование уязвимости в VSCode и Cursor для исполнения вредоносного кода сразу после открытия файла пользователем.
4. Подозрительные лица
* Основываясь на потоках денежных средств в блокчейне, атака считается связанной с группой UNC4736 (AppleJeus/Citrine Sleet) — хакерской группой из Северной Кореи.
* Эта группа использовала посредников (не корейцев) для непосредственной связи, чтобы избежать подозрений в своей идентичности.
5. Текущее состояние
* Drift заморозил весь протокол и удалил скомпрометированные кошельки.
* Ведется сотрудничество с правоохранительными органами и ведущими экспертами в области безопасности (Mandiant, SEAL 911) для расследования.
* Предупреждение всей экосистемы о необходимости ужесточения безопасности устройств и прав доступа multisig. Надеемся $DRIFT
увеличить цену снова #DRIFT
1. Суть атаки
* Это организованная разведывательная кампания, тщательно подготовленная в течение как минимум 6 месяцев (начиная с осени 2025 года).
* Замысловатая комбинация социальных манипуляций (social engineering) и уязвимостей программного обеспечения.
2. Тактика создания доверия
* Атакующий выдает себя за авторитетный количественный инвестиционный фонд, встречается непосредственно с командой Drift на нескольких международных конференциях для установления отношений.
* Они демонстрируют свои способности, вложив более 1 миллиона долларов США в протокол и активно участвуя в профессиональных мероприятиях (Ecosystem Vault).
3. Методы вторжения (вектор атаки)
* Вредоносный код: Обман сотрудников Drift для загрузки (клон) репозиториев с вредоносным кодом.
* Ложное приложение: Соблазн установки приложения через TestFlight под предлогом продукта кошелька.
* Уязвимость редактора: Использование уязвимости в VSCode и Cursor для исполнения вредоносного кода сразу после открытия файла пользователем.
4. Подозрительные лица
* Основываясь на потоках денежных средств в блокчейне, атака считается связанной с группой UNC4736 (AppleJeus/Citrine Sleet) — хакерской группой из Северной Кореи.
* Эта группа использовала посредников (не корейцев) для непосредственной связи, чтобы избежать подозрений в своей идентичности.
5. Текущее состояние
* Drift заморозил весь протокол и удалил скомпрометированные кошельки.
* Ведется сотрудничество с правоохранительными органами и ведущими экспертами в области безопасности (Mandiant, SEAL 911) для расследования.
* Предупреждение всей экосистемы о необходимости ужесточения безопасности устройств и прав доступа multisig. Надеемся $DRIFT
увеличить цену снова #DRIFT