**Drift Protocol**は、最近発生した2億8000万ドル以上のハッキングは、「**Drift**エコシステム内に機能的な運用上の存在を確立する」ことを伴う長期的な作戦の結果であると報告しています。 4月1日、プラットフォームは異常なアクティビティを検出し、高度な攻撃により資金が失われたことを確認しました。この攻撃は、セキュリティ評議会の管理権限を乗っ取ったものです。ブロックチェーンインテリジェンス企業である**Elliptic**と**TRM Labs**は、この盗難事件を北朝鮮のハッカーによるものと断定しており、彼らは約12分でユーザー資産を流出したと報じられています。 調査によると、ハッカーは少なくとも6ヶ月前から攻撃を準備しており、定量分析会社の代表者を装っていました。彼らは様々な暗号資産カンファレンスで**Drift**の貢献者に直接接触しました。 「これは標的型アプローチであったことが現在理解されています。このグループの個人は、その後6ヶ月にわたり、複数の国で開催される複数の主要な業界カンファレンスで、特定の**Drift**貢献者を意図的に探し出し、対面で接触し続けました」と同社は述べています。 脅威アクターは**Telegram**を通じてターゲットと連絡を取り、取引戦略や潜在的なボルト統合について議論しました。彼らは**Drift**の運用に関する技術的な習熟度と知識を示し、取引会社とプラットフォーム間の典型的なオンボーディング交換を模倣しました。貢献者とのやり取りに使用された**Telegram**グループは、盗難直後に削除されました。 ### 攻撃ベクトル **Drift**は、2人の貢献者が以下の方法で侵害されたと考えています。 * 貢献者に共有された悪意のあるコードリポジトリ。これは、サイレントコード実行を可能にする**VSCode**/Cursorの脆弱性を悪用した可能性があります。 * ウォレット製品として提示された悪意のある**TestFlight**アプリケーション。 ### 帰属 **Elliptic**と**TRM Labs**による調査は、北朝鮮の脅威アクターの関与を強く示唆しています。**Drift**の調査結果もまた、この攻撃が複数のセキュリティ企業によって既に北朝鮮と関連付けられている脅威アクターである**UNC4736**（別名**AppleJeus**および**Labyrinth Chollima**）によって実行されたことを中〜高確信度で示しています。**Mandiant**は、**UNC4736**を**Lazarus**と関連付けています。 この同じグループは、2023年の**3CX**サプライチェーン攻撃、2024年の5000万ドルの**Radiant**暗号資産盗難、および**Chrome**のゼロデイ脆弱性の悪用にも責任があると信じられています。 注目すべきは、カンファレンスで**Drift**の貢献者と会った個人は、韓国人ではない仲介者であったことです。 ### 現在の状況 現在、**Drift Protocol**のすべての機能は凍結されており、侵害されたウォレットはマルチシグプロセスから削除されています。**Drift**は、盗まれた資金の移動や引き出しを防ぐために、攻撃者のウォレットを取引所やブリッジオペレーター全体でフラグ付けしています。