Drift Protocol, een gedecentraliseerde cryptocurrency-beurs (DEX), stelt dat de recente exploitatie van het platform een zes maanden durende, zeer gecoördineerde aanval was.
“Het voorlopige onderzoek toont aan dat Drift het slachtoffer is geworden van een gestructureerde inlichtingenoperatie die organisatorische steun, aanzienlijke middelen en maandenlange weloverwogen voorbereiding vereiste,” zei Drift zaterdag in een X-bericht.
De gedecentraliseerde beurs werd woensdag geëxploiteerd, met externe schattingen die de verliezen op ongeveer $280 miljoen ramen.
Volgens Drift kan het aanvalsplan worden teruggevoerd naar ongeveer oktober 2025, toen kwaadwillende actoren, zich voordoend als een kwantitatief handelsbedrijf, voor het eerst Drift-medewerkers benaderden op een “grote cryptoconferentie”, bewerend geïnteresseerd te zijn in integratie met het protocol.
De groep bleef de daaropvolgende zes maanden persoonlijk contact onderhouden met medewerkers op meerdere evenementen in de branche. “Het is nu duidelijk dat dit een gerichte aanpak lijkt te zijn, waarbij individuen uit deze groep opzettelijk specifieke Drift-medewerkers bleven opzoeken en benaderen,” aldus Drift.
“Ze waren technisch onderlegd, hadden verifieerbare professionele achtergronden en waren bekend met de werking van Drift,” zei Drift.
Na zes maanden vertrouwen en toegang tot Drift Protocol te hebben gewonnen, gebruikten ze gedeelde kwaadaardige links en tools om de apparaten van medewerkers te compromitteren, de exploit uit te voeren en hun aanwezigheid onmiddellijk na de aanval te wissen.
Het incident dient als een herinnering voor deelnemers aan de crypto-industrie om voorzichtig en sceptisch te blijven, zelfs tijdens persoonlijke interacties, aangezien cryptoconferenties belangrijke doelwitten kunnen zijn voor geavanceerde dreigingsactoren.
Drift verklaarde, met “middelhoog vertrouwen,” dat de exploit is uitgevoerd door dezelfde actoren die achter de Radiant Capital-hack van oktober 2024 zaten.
In december 2024 zei Radiant Capital dat de exploit was uitgevoerd via malware die via Telegram was verzonden door een Noord-Koreaans georiënteerde hacker die zich voordeed als een ex-contractor.
“Dit ZIP-bestand, toen het werd gedeeld voor feedback onder andere ontwikkelaars, leverde uiteindelijk malware af die de daaropvolgende inbraak faciliteerde,” aldus Radiant Capital.
Drift zei dat het “belangrijk is op te merken” dat de personen die persoonlijk verschenen “geen Noord-Koreaanse staatsburgers waren.”
Gerelateerd: Naoris lanceert post-kwantum blockchain nu kwantumbeveiligingsrisico’s de aandacht krijgen
“DPRK-dreigingsactoren die op dit niveau opereren, staan erom bekend derden in te zetten om persoonlijke relaties op te bouwen,” zei Drift.
Drift zei dat het samenwerkt met wetshandhavingsinstanties en anderen in de crypto-industrie om “een compleet beeld te schetsen van wat er is gebeurd tijdens de aanval van 1 april.”
Magazine: Bitcoin 85% crashes ‘gedaan,’ speculatie CLARITY Act neemt toe: Hodler’s Digest, 29 maart – 4 april
