Протокол Drift сообщил, что взлом на $280+ млн был результатом полугодовой операции северокорейских хакеров, которые внедрились в экосистему, выдавая себя за партнеров. Атака, вероятно, связана с UNC4736 (Labyrinth Chollima). — bleepingcomputer.com
Протокол Drift заявляет, что взлом на сумму более 280 миллионов долларов, произошедший на прошлой неделе, стал результатом долгосрочной, тщательно спланированной операции, которая включала создание «функционирующего операционного присутствия внутри экосистемы Drift».
1 апреля торговая платформа на базе Solana обнаружила подозрительную активность, за которой последовало подтверждение потери средств в результате изощренной атаки, позволившей захватить административные полномочия Совета Безопасности.
Фирмы по анализу блокчейна Elliptic и TRM Labs приписали это хищение северокорейским хакерам, которым потребовалось около 12 минут, чтобы вывести активы пользователей.
Расследование показало, что хакеры готовили атаку не менее шести месяцев, выдавая себя за количественную фирму и лично встречаясь с участниками Drift на нескольких криптоконференциях.
«Теперь стало ясно, что это был целенаправленный подход, при котором отдельные лица из этой группы в течение следующих шести месяцев продолжали намеренно искать и вступать в контакт с конкретными участниками Drift лично на нескольких крупных отраслевых конференциях в разных странах», — сообщает Drift Protocol.
Злоумышленник продолжал общаться со своими целями через Telegram, обсуждая торговые стратегии и потенциальные интеграции хранилищ. Они продемонстрировали техническую компетентность и знакомство с принципами работы Drift, а их взаимодействие напоминало типичные процедуры подключения между торговыми фирмами и платформой.
По данным Drift, группа в Telegram, использовавшаяся для взаимодействия с участниками, была удалена сразу после совершения кражи.
Платформа не установила с уверенностью вектор атаки, но полагает, что двое участников были скомпрометированы следующими способами:
- Вредоносный репозиторий кода, переданный участнику, возможно, с использованием уязвимости VSCode/Cursor, которая позволила бесшумно выполнить код
- Вредоносное приложение TestFlight, представленное как продукт кошелька
Множество индикаторов, обнаруженных в расследованиях Elliptic и TRM Labs, указывают на северокорейского злоумышленника. Выводы Drift также с умеренно высокой степенью уверенности указывают на то, что атака была совершена UNC4736 (также известной как AppleJeus и Labyrinth Chollima) — группировкой, связанной с Северной Кореей по данным ряда компаний по безопасности.
Компания по реагированию на инциденты Mandiant ранее связывала UNC4736 с Lazarus. Эта же группа несет ответственность за атаку на цепочку поставок 3CX в 2023 году, кражу криптовалюты на 50 миллионов долларов у Radiant в 2024 году, а также с эксплуатацией уязвимости нулевого дня в Chrome для развертывания руткита.
Однако отмечается, что акторы, лично встречавшиеся с ключевыми участниками Drift на конференциях, были не корейскими посредниками.
В настоящее время все функции Drift Protocol заморожены, а скомпрометированные кошельки исключены из процесса мультиподписи.
Drift сообщает, что кошельки злоумышленников были отмечены на биржах и у операторов мостов, чтобы предотвратить перемещение или вывод средств злоумышленником.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas