Những gì ban đầu dường như là một cuộc tấn công đột ngột giờ đây đã được tiết lộ là một hoạt động dài hạn, được phối hợp cao độ. Drift Protocol đã công bố rằng vụ hack 270 triệu USD là kết quả của chiến dịch xâm nhập kéo dài sáu tháng, được cho là có liên quan đến các tác nhân liên kết với nhà nước Triều Tiên.
Thay vì khai thác một lỗ hổng đơn giản, những kẻ tấn công đã từ từ xây dựng lòng tin, giả dạng là một công ty giao dịch định lượng hợp pháp và nhúng mình vào hệ sinh thái. Cách tiếp cận của chúng vượt xa sự lừa dối kỹ thuật số. Chúng tương tác trực tiếp với các cộng tác viên, tham dự các hội nghị tiền điện tử và thiết lập các mối quan hệ có vẻ đáng tin cậy ở mọi cấp độ.
Đây không phải là một cuộc tấn công nhanh chóng. Nó được tính toán, kiên nhẫn và được thiết kế để vượt qua không chỉ các biện pháp phòng thủ kỹ thuật mà còn cả lòng tin của con người.
Tiếp Xúc Đầu Tiên Bắt Đầu Tại Các Hội Nghị Tiền Điện Tử
Hoạt động được cho là bắt đầu vào mùa thu năm 2025, khi những kẻ tấn công thực hiện tiếp xúc đầu tiên tại một hội nghị tiền điện tử lớn. Vào thời điểm đó, không có dấu hiệu cảnh báo nào ngay lập tức. Nhóm này tự giới thiệu mình là các chuyên gia có trình độ kỹ thuật với lý lịch có thể xác minh được.
Họ nói thành thạo ngôn ngữ của DeFi, thể hiện sự hiểu biết sâu sắc về cơ sở hạ tầng và cơ chế giao dịch của Drift. Mức độ chuyên môn này đã giúp họ hòa nhập một cách liền mạch với các cộng tác viên và đối tác hợp pháp.
Ngay sau đó, giao tiếp chuyển sang Telegram, nơi các cuộc thảo luận tiếp tục trong nhiều tháng. Những tương tác này không vội vàng hay đáng ngờ. Thay vào đó, chúng phản ánh nhịp độ của sự hợp tác thực sự, hoàn chỉnh với các cuộc thảo luận kỹ thuật, đầu vào chiến lược và sự tham gia liên tục.
Bằng cách duy trì tính nhất quán và uy tín, những kẻ tấn công dần dần xây dựng lòng tin trong cộng đồng.
Xây Dựng Lòng Tin Thông Qua Vốn Và Hợp Tác
Đến tháng 1 năm 2026, nhóm đã đưa sự tham gia của họ đi xa hơn nữa. Họ đã thành công trong việc tham gia Ecosystem Vault và bắt đầu tham gia vào các buổi làm việc cùng với các cộng tác viên của Drift.
Điều quan trọng là họ cũng cam kết vốn thực sự, gửi hơn 1 triệu USD tiền của riêng họ vào giao thức. Động thái này củng cố tính hợp pháp của họ, báo hiệu rằng họ có lợi ích trong cuộc chơi.
Trong suốt tháng 2 và tháng 3, các thành viên của hệ sinh thái Drift đã gặp trực tiếp những cá nhân này ở nhiều quốc gia. Những tương tác trực tiếp này đã thêm một lớp tin cậy khác, khiến ý định của họ càng ít có khả năng bị đặt câu hỏi.
Vào thời điểm cuộc tấn công được thực hiện, mối quan hệ giữa những kẻ tấn công và cộng đồng đã được thiết lập trong gần sáu tháng. Đây là mức độ xâm nhập hiếm khi thấy trong các vụ khai thác DeFi.
Thực Hiện Tấn Công Tận Dụng Các Điểm Xâm Nhập Tinh Vi
Khi sự xâm phạm cuối cùng xảy ra, nó đến thông qua hai vector được nhắm mục tiêu cao.
Điểm đầu tiên liên quan đến một ứng dụng TestFlight độc hại, được trình bày như một sản phẩm ví hợp pháp. Điều này cho phép những kẻ tấn công có quyền truy cập vào các thiết bị của cộng tác viên dưới chiêu bài thử nghiệm các công cụ mới.
Vector thứ hai khai thác một lỗ hổng đã biết trong các môi trường phát triển như VSCode và Cursor. Lỗ hổng này, được cộng đồng bảo mật gắn cờ nhiều tháng trước đó, cho phép thực thi mã tùy ý chỉ bằng cách mở một tệp.
Cùng nhau, những phương pháp này cho phép những kẻ tấn công xâm phạm các thiết bị chính mà không gây nghi ngờ ngay lập tức. Một khi ở bên trong, họ có thể truy cập các quy trình làm việc nhạy cảm và cơ chế phê duyệt.
Giai đoạn này của hoạt động làm nổi bật một sự thay đổi quan trọng trong các chiến lược tấn công. Thay vì nhắm mục tiêu trực tiếp vào hợp đồng thông minh, những kẻ tấn công ngày càng tập trung vào các lớp con người và công cụ xung quanh chúng.
Điểm Yếu Của Multisig Bị Phơi Bày Trong Đợt Rút Cuối Cùng
Với quyền truy cập được đảm bảo, những kẻ tấn công chuyển sang giai đoạn cuối cùng: thực hiện.
Họ đã có được hai phê duyệt multisig, sau đó được sử dụng để ủy quyền giao dịch. Đáng chú ý, các giao dịch này đã được ký trước và để nguyên trong hơn một tuần, tránh phát hiện ngay lập tức.
Vào ngày 1 tháng 4, những kẻ tấn công đã hành động. Trong vòng chưa đầy một phút, khoảng 270 triệu USD đã bị rút khỏi các vault của Drift.
Tốc độ và độ chính xác của việc thực hiện để lại rất ít chỗ cho sự can thiệp. Vào thời điểm các giao dịch được nhận ra, các khoản tiền đã được chuyển đi.
Drift kể từ đó đã cảnh báo rằng sự cố này phơi bày những điểm yếu cơ bản trong các mô hình bảo mật dựa trên multisig. Trong khi các hệ thống multisig được thiết kế để phân phối lòng tin, chúng vẫn dễ bị tổn thương khi chính những người ký bị xâm phạm.
Các Liên Kết Với Các Tác Nhân Nhà Nước Triều Tiên Nổi Lên
Các cuộc điều tra về cuộc tấn công đã liên kết hoạt động với UNC4736, một nhóm còn được gọi là AppleJeus hoặc Citrine Sleet. Thực thể này được liên kết rộng rãi với các hoạt động mạng của Triều Tiên và đã được kết nối với các vụ khai thác nổi bật trước đó, bao gồm cuộc tấn công Radiant Capital.
Thật thú vị, các cá nhân tương tác trực tiếp với các cộng tác viên của Drift không được xác định là công dân Triều Tiên. Thay vào đó, họ dường như là các trung gian bên thứ ba, được trang bị danh tính được xây dựng cẩn thận để chịu được sự kiểm tra.
Cách tiếp cận nhiều lớp này làm cho việc quy kết phức tạp hơn trong khi tăng hiệu quả của hoạt động. Bằng cách tách các tác nhân trực tiếp khỏi thực thể điều phối, những kẻ tấn công đã có thể duy trì tính hợp pháp hợp lý trong suốt quá trình xâm nhập.
Một Lời Cảnh Tỉnh Cho Các Mô Hình Bảo Mật DeFi
Vụ khai thác Drift đang buộc ngành phải đối mặt với một thực tế khó chịu. Các mô hình bảo mật truyền thống, tập trung vào kiểm toán mã, lỗ hổng hợp đồng thông minh và bảo vệ multisig, có thể không đủ để bảo vệ chống lại những kẻ thù sẵn sàng đầu tư thời gian, tiền bạc và nguồn lực con người.
Nếu những kẻ tấn công có thể dành sáu tháng xây dựng mối quan hệ, triển khai vốn để có được lòng tin và gặp trực tiếp các nhóm, bề mặt tấn công mở rộng xa hơn nhiều so với mã.
Điều này đặt ra một câu hỏi quan trọng cho hệ sinh thái DeFi: loại khung bảo mật nào có thể phát hiện và ngăn chặn mức độ xâm nhập này?
Hiện tại, sự cố này được coi là một trong những vụ khai thác dựa trên kỹ thuật xã hội tinh vi nhất trong lịch sử tiền điện tử. Nó nhấn mạnh nhu cầu về một cách tiếp cận toàn diện hơn đối với bảo mật, một cách tiếp cận tính đến hành vi của con người, quy trình hoạt động và ranh giới ngày càng mờ nhạt giữa các tương tác trực tuyến và ngoại tuyến.
Khi các giao thức tiếp tục phát triển và thu hút nhiều vốn hơn, rủi ro sẽ chỉ tăng lên. Và như trường hợp này cho thấy, thế hệ tấn công tiếp theo có thể không đến từ các ví ẩn danh, mà từ các đối tác đáng tin cậy ngồi đối diện bàn.
Tiết lộ: Đây không phải là lời khuyên giao dịch hoặc đầu tư. Luôn tự nghiên cứu trước khi mua bất kỳ tiền mã hoá nào hoặc đầu tư vào bất kỳ dịch vụ nào.
Theo dõi chúng tôi trên Twitter @nulltxnews để cập nhật tin tức mới nhất về Crypto, NFT, AI, Cybersecurity, Distributed Computing và Metaverse!
Nguồn: https://nulltx.com/north-korea-linked-group-behind-270m-drift-hack-six-month-plot-revealed/
