Drift Protocol, bursa kripto terdesentralisasi (DEX), mengatakan eksploitasi baru-baru ini terhadap platform tersebut adalah serangan yang sangat terkoordinasi dan berlangsung selama enam bulan.
“Investigasi awal menunjukkan bahwa Drift mengalami operasi intelijen terstruktur yang membutuhkan dukungan organisasi, sumber daya yang signifikan, dan persiapan berbulan-bulan yang disengaja,” kata Drift dalam sebuah postingan X pada hari Sabtu.
Bursa terdesentralisasi tersebut dieksploitasi pada hari Rabu, dengan perkiraan eksternal menempatkan kerugian sekitar $280 juta.
Menurut Drift, rencana serangan tersebut dapat dilacak kembali ke sekitar Oktober 2025, ketika aktor jahat yang menyamar sebagai perusahaan perdagangan kuantitatif pertama kali mendekati kontributor Drift di “konferensi kripto besar,” mengklaim tertarik untuk berintegrasi dengan protokol tersebut.
Kelompok tersebut terus melibatkan kontributor secara langsung di beberapa acara industri selama enam bulan berikutnya. “Kini dipahami bahwa ini tampaknya merupakan pendekatan yang ditargetkan, di mana individu dari kelompok ini terus dengan sengaja mencari dan melibatkan kontributor Drift tertentu,” kata Drift.
“Mereka fasih secara teknis, memiliki latar belakang profesional yang dapat diverifikasi, dan akrab dengan cara Drift beroperasi,” kata Drift.
Setelah mendapatkan kepercayaan dan akses ke Drift Protocol selama enam bulan, mereka menggunakan tautan dan alat berbahaya yang dibagikan untuk membahayakan perangkat kontributor, melakukan eksploitasi, dan kemudian menghapus jejak mereka segera setelah serangan.
Insiden ini berfungsi sebagai pengingat bagi para peserta industri kripto untuk tetap berhati-hati dan skeptis, bahkan selama interaksi tatap muka, karena konferensi kripto dapat menjadi target utama bagi aktor ancaman yang canggih.
Drift mengatakan, dengan “keyakinan menengah-tinggi,” bahwa eksploitasi tersebut dilakukan oleh aktor yang sama di balik peretasan Radiant Capital pada Oktober 2024.
Pada Desember 2024, Radiant Capital mengatakan eksploitasi dilakukan melalui malware yang dikirim via Telegram dari peretas yang berafiliasi dengan Korea Utara yang menyamar sebagai mantan kontraktor.
“File ZIP ini, ketika dibagikan untuk umpan balik di antara pengembang lain, pada akhirnya mengirimkan malware yang memfasilitasi intrusi berikutnya,” kata Radiant Capital.
Drift mengatakan “penting untuk dicatat” bahwa individu yang muncul secara langsung “bukan warga negara Korea Utara.”
Terkait: Naoris meluncurkan blockchain pasca-kuantum seiring dengan meningkatnya perhatian terhadap risiko keamanan kuantum
“Aktor ancaman DPRK yang beroperasi pada tingkat ini dikenal menggunakan perantara pihak ketiga untuk membangun hubungan tatap muka,” kata Drift.
Drift mengatakan bahwa mereka bekerja sama dengan penegak hukum dan pihak lain di industri kripto untuk “membangun gambaran lengkap tentang apa yang terjadi selama serangan 1 April.”
Majalah: Bitcoin 85% anjlok ‘selesai’, spekulasi CLARITY Act meningkat: Hodler’s Digest, 29 Mar – 4 April
