Hat hónapig készült a Drift Protocol 285 millió dolláros hackje, az észak-koreai csoportot hibáztatják

2026. április 1. kihasználni of SolanaA platformról körülbelül 285 millió dollárt elszívott Drift Protocol nem volt spontán támadás. A Drift előzetes jelentése szerint vizsgálat, ez egy legalább hat hónappal korábban kezdődött strukturált hírszerzési művelet eredménye volt, amelyet közepes-magas megbízhatósággal az UNC4736-nak, egy észak-koreai államhoz köthető fenyegetéscsoportnak tulajdonítottak, amelyet AppleJeus vagy Citrine Sleet néven is nyomon követtek.

Hogyan kezdődött valójában a Drift Protocol hackelése?

A Drift Protocol csapata szerint a művelet egy nagyszabású kriptovaluta-konferencián kezdődött 2025 őszén, ahol kvantitatív kereskedési cégként megjelenő személyek keresték meg a Drift munkatársait. Ami ezután következett, az nem egy gyors adathalász kísérlet volt. Ez egy szándékos, hónapokig tartó kapcsolatépítő kampány volt, amelyet több személyes találkozó, több iparági konferencia és több ország lebonyolítása során folytattak.

A csoport tagjai technikailag folyékonyan beszéltek, ellenőrizhető szakmai háttérrel rendelkeztek, és részletesen ismerték a Drift működését. Az első találkozó után létrehoztak egy Telegram csoportot, és hónapokig folytak a kereskedési stratégiákról és a vault integrációkról szóló tartalmas megbeszélések. A Drift csapata megjegyezte, hogy ezek az interakciók teljes mértékben összhangban voltak azzal, ahogyan a legitim kereskedő cégek jellemzően a protokollal foglalkoznak.

2025 decembere és 2026 januárja között a csoport egy Ecosystem Vault rendszert vezetett be a Drift platformon. Ez a folyamat magában foglalta a stratégiai részletek benyújtását egy hivatalos űrlapon keresztül, a Drift közreműködőivel tartott több munkamegbeszélésen való részvételt, valamint több mint 1 millió dollár saját tőke befizetését. Tudatosan és türelmesen kiépítettek egy működőképes jelenlétet a protokollon belül.

Az utolsó hónapok a kizsákmányolás előtt

Az integrációs beszélgetések 2026 februárjában és márciusában is folytatódtak. A Drift munkatársai személyesen is találkoztak a csoport tagjaival nagyobb iparági eseményeken. Áprilisra már majdnem hat hónapja tartott a kapcsolat. Nem idegenekről volt szó. Olyan emberekről, akikkel a Drift csapata már együtt dolgozott, és többször is személyesen találkoztak.

Ez idő alatt a csoport megosztotta azokat a projekteket, eszközöket és alkalmazásokat, amelyekről azt állították, hogy fejlesztés alatt állnak. Az ilyen erőforrások megosztása bevett gyakorlat a kereskedelmi cégek közötti kapcsolatokban, és pontosan ez tette hatékony megvalósítási mechanizmussá.

Mik voltak a technikai támadási vektorok?

Az április 1-jei támadás után a Drift kriminalisztikai vizsgálatot végzett az érintett eszközökön, fiókokon és kommunikációs előzményeken. A csoport által használt Telegram-csevegéseket és rosszindulatú szoftvereket a támadás pillanatában teljesen kitisztították. A Drift vizsgálata három valószínűsíthető behatolási vektort azonosított:

• Egy közreműködőt feltehetően feltörtek a támadások, miután klónozta a csoport által megosztott kódtárat, amelyet a vaultjuk front-end telepítési eszközeként mutattak be.
• Egy második közreműködőt is rávettek egy TestFlight alkalmazás letöltésére, amelyet a csoport a saját pénztárcatermékének nevezett. A TestFlight az Apple platformja, amely az iOS-alkalmazások béta verzióinak terjesztésére szolgál, mielőtt azok nyilvánosan megjelennének.
• A repository-alapú vektor esetében a valószínű mechanizmus a VSCode és a Cursor kódszerkesztők egy ismert sebezhetősége volt, amelyet a biztonsági kutatók 2025 decembere és 2026 februárja között aktívan jeleztek. Egy fájl, mappa vagy repository megnyitása az érintett szerkesztőben elegendő volt tetszőleges kód csendes végrehajtásához, figyelmeztetés, jogosultságokat kérő párbeszédablak vagy bármilyen látható jelzés nélkül a felhasználó számára.

Az érintett hardverek teljes körű igazságügyi elemzése a publikáció idején még folyamatban volt.

Milyen gyorsan hajtották végre a támadást?

A beállítás talán hat hónapig is eltarthatott, de a végrehajtás gyors volt. Miután az adminisztrátorok lefoglalták a protokoll feletti irányítást, a valódi felhasználói pénzeszközöket kevesebb mint 12 perc alatt elszívták. A Drift teljes zárolt értéke (TVL) kevesebb mint egy óra alatt nagyjából 550 millió dollárról 300 millió dollár alá esett. A DRIFT token értéke több mint 40%-ot esett az incidens során. A PeckShield biztonsági cég megerősítette, hogy a teljes veszteség meghaladta a 285 millió dollárt, ami a protokoll akkori TVL-jének több mint 50%-át tette ki.

Drift csapata a káosz alatt az X-en posztolt, hogy tisztázza a helyzet valódiságát, ezt írva: „Ez nem áprilisi tréfa. További értesítésig óvatosan járjon el.” A vizsgálat megkezdésekor minden befizetést és kifizetést felfüggesztettek.

Fedezze fel az ígéretes projekteket...

Ígéretes projektek...

(Hirdetés)

A cikk folytatódik...

Hová tűnt a 285 millió dollár?

A támadó a támadás után gyorsan cselekedett, hogy elfedje a pénzeszközök útját. Az ellopott eszközöket USDC-vé és SOL-lá konvertálták, majd a Circle Cross-Chain Transfer Protocol (CCTP) segítségével áthidalták a Solanáról az Ethereumra. A CCTP a Circle natív áthidaló infrastruktúrája, amely lehetővé teszi az USDC számára, hogy különböző blokkláncok között csomagolva mozogjon. Az Ethereumon a pénzeszközöket ETH-vé konvertálták. A láncon belüli követés megerősítette, hogy a támadó végül 129 066 ETH-t halmozott fel, ami akkoriban körülbelül 273 millió dollárt ért.

A támadó SOL-t helyezett el mind a HyperLiquid, mind a Binance kriptovalutáiban, több platformra is kiterjesztve a tevékenységet, ami megnehezítette a nyomon követést.

Elég gyorsan reagált a Kör?

A láncon belüli nyomozó, ZachXBT nyilvánosan bírálta a Circle-t a támadás után, rámutatva, hogy nagy mennyiségű lopott USDC-t vittek át a Solana-ról az Ethereum-ra az amerikai munkaidő alatt anélkül, hogy azokat lefagyasztották volna. ZachXBT ezt szembeállította a Circle nemrégiben hozott döntésével, amelyben 16 egymással nem összefüggő vállalati forgalmas tárcát fagyasztottak be egy lezárt amerikai polgári perben, azzal érvelve, hogy a Circle rendelkezett mind a technikai képességekkel, mind a egyértelmű precedenssel a beavatkozáshoz, de nem cselekedett elég gyorsan a károk korlátozásához.

Ki áll a támadás mögött?

Közepes-magas bizonyossággal, és a SEALS 911 csapat által végzett vizsgálatok alapján a Drift vizsgálata ugyanazoknak a fenyegető szereplőknek tulajdonítja a műveletet, akik a 2024. októberi Radiant Capital hackelésért is felelősek voltak. A Mandiant hivatalosan az UNC4736-nak, egy észak-koreai államhoz köthető csoportnak tulajdonította a támadást.

A kapcsolat alapja mind a láncon belüli, mind az operatív. A Drift művelet végrehajtásához és teszteléséhez használt pénzáramlások a Radiant támadókhoz kapcsolódó tárcákig vezethetők vissza. Ezenkívül a Drift kampány során bevetett személyek azonosítható átfedéseket mutatnak az ismert, Észak-Koreai Népi Demokratikus Köztársasághoz köthető tevékenységi mintákkal.

Egy fontos pontosítás Drift csapatától: a konferenciákon személyesen megjelent személyek nem észak-koreai állampolgárok voltak. Ezen a műveleti szinten az Észak-Koreai Népi Demokratikus Köztársasághoz köthető fenyegetési szereplőkről köztudott, hogy harmadik fél közvetítőket alkalmaznak a személyes kapcsolatépítés lebonyolítására, távol tartva a tényleges ügynököket.

A Mandiant hivatalosan is bevonták a nyomozásba, de még nem hoztak nyilvánosságra a Drift hibájának kiváltó okát. Ehhez a megállapításhoz az eszköz forenzikus vizsgálatának befejezése szükséges, amely még folyamatban van.

Jelenlegi válaszintézkedések

A megjelenés időpontjában a Drift a következő lépéseket tette meg:

• Minden fennmaradó protokollfunkciót lefagyasztottak.
• A feltört tárcákat eltávolították a multisig rendszerből.
• A támadó tárcákat tőzsdéken és hídüzemeltetőkön keresztül is bejelentették.
• A Mandiantot elsődleges forenzikus partnerként bízták meg.

A Drift kijelentette, hogy nyilvánosan megosztja ezeket az adatokat, hogy az ökoszisztéma többi csapata megértse, hogy valójában hogyan néz ki ez a fajta támadás, és lépéseket tegyen a megfelelő védelem érdekében.

Összegzés

A Drift Protocol hack nem egy olyan kódbeli sebezhetőségről szól, ami átcsúszott egy auditon. Ez egy folyamatos emberi megtévesztés története. A támadók hat hónapot töltöttek a hitelesség építésével személyes találkozók, egy működő boltozat-integráció és több mint 1 millió dollárnyi saját befizetett tőke révén, mielőtt 12 perc alatt 285 millió dollárt loptak el.

 A technikai vektorok, egy rosszindulatú kódtár és egy hamis TestFlight alkalmazás, pontosan azért voltak hatékonyak, mert a megnyitásukhoz szükséges bizalmi szintet már gondosan felépítették. 

A DeFi protokollok esetében a tanulság egyértelmű: a támadási felület nem korlátozódik az intelligens szerződésekre. Magában foglalja az összes közreműködő eszközt, minden harmadik féltől származó adattárat és minden iparági konferencián felépített kapcsolatot. Az UNC4736 ezt már kétszer is bemutatta, először a Radiant Capitalon 2024 októberében, majd ismét a Drift-en 2026 áprilisában, minden alkalommal ugyanazzal a türelmes, erőforrásokra támaszkodó megközelítéssel.

Tudástár

1. Drift protokoll X-enMárcius 5-jei bejegyzés

2. PeckShield az X-enBejegyzések (április 1-2.)

3. Lookonchain az X-enBejegyzések (április 1-2.)