Drift Protocol: Начата разработка плана восстановления, участие в программе STRIDE по безопасности

Протокол Drift 8 апреля в платформе X опубликовал обновление о последних событиях, заявив, что в настоящее время активно разрабатывает согласованный план восстановления совместно с партнёрами. На текущем этапе основное внимание уделяется стабилизации обстановки, а также предоставлению гарантий на уровне протоколов всем затронутым пользователям и партнёрам. Кроме того, протокол Drift объявил, что примет участие в программе безопасности STRIDE, находящейся под эгидой Солана-фонда, и в дальнейшем будут опубликованы дополнительные подробности.

Текущее состояние плана восстановления: стабилизация как первоочередная задача

Протокол Drift подчеркнул, что разработка плана восстановления предполагает многостороннюю координацию с партнёрами, затронутыми пользователями и сотрудничающими сторонами экосистемы. При этом приоритетом является «стабилизация обстановки», чтобы гарантировать, что затронутые пользователи получат защиту на уровне протокола, а также изучить последующие варианты компенсации и восстановления.

Участие в программе STRIDE является важной составляющей дорожной карты усиления безопасности протокола Drift. STRIDE ведётся Asymmetric Research при финансировании Солана-фонда, обеспечивая независимые оценки безопасности, круглосуточный проактивный мониторинг угроз (для протоколов с TVL свыше 10 млн долларов США), а также услуги формальной верификации (для протоколов с TVL свыше 100 млн долларов США).

Разбор атаки: подробности шестимесячной операции по проникновению разведданных

На этот раз атака не была обычным использованием технической уязвимости, а представляла собой комплексную операцию, объединяющую социальную инженерию и техническое вторжение. Атакующие маскировались под «кванто-вые торговые компании, заинтересованные в интеграции», в прошлом осенью на одном крупном отраслевом мероприятии напрямую установили контакт с целевыми сотрудниками, а затем посредством очных встреч и общения в Telegram шаг за шагом выстраивали доверие. Перед осуществлением атаки злоумышленники даже разместили на платформе депозит в 1 млн долларов собственных средств для повышения правдоподобия; после завершения операции они сразу исчезли.

Технический маршрут применённых методов атаки

Внедрение вредоносной кодовой библиотеки: встраивание вредоносного кода в среду разработки через цепочку поставок с целью обеспечить тихое выполнение

Подделка приложения: побуждение вкладчиков скачать и запустить вредоносную программу с помощью инструмента, выглядящего законным

Использование уязвимостей в разработнических инструментах: достижение эффекта тихого выполнения кода за счёт уязвимостей в слабых местах процесса разработки

Проникновение через социальную инженерию: использование третьих посредников для проведения очных встреч, чтобы обойти риски прямой идентификации по гражданству

Протокол Drift указал, что люди, вступавшие в очные контакты, не были гражданами КНДР; подобные акторы с государственным бэкграундом обычно выполняют задачи проникновения на месте через третьих посредников.

Атрибуция AppleJeus: цифровые следы кибератак северокорейской разведывательной организации

Протокол Drift с высокой и средней степенью уверенности приписал эту атаку угрозной организации AppleJeus (также известной как Citrine Sleet). Ранее компания по кибербезопасности Mandiant связала эту организацию с хакерской атакой на Radiant Capital в 2024 году. Представители команды реагирования на инциденты сообщили, что результаты on-chain-анализа и пересекающиеся паттерны по идентичностям указывают на участие сотрудников, связанных с КНДР, однако Mandiant пока официально не подтвердил такую атрибуцию.

Стратегический руководитель одной из компаний по безопасности блокчейна отметил, что противники, с которыми сейчас сталкивается команда криптовалют, больше похожи на «разведывательные структуры», а не на традиционных хакеров. При этом данный инцидент выявил ключевую проблему безопасности не в количестве подписантов транзакций, а в «отсутствии фундаментального понимания намерений транзакции», из-за чего подписантов удалось убедить одобрить вредоносные действия.

Предупреждение отрасли: возможно, экосистема DeFi уже широко подверглась проникновению

Один из специалистов по безопасности, участвовавший в этом расследовании, заявил, что экосистема DeFi, возможно, уже широко подверглась проникновению со стороны подобных акторов, и предположил, что соответствующие организации в течение долгого времени участвовали во влиянии на множество протоколов. Эта формулировка означает, что атака протокола Drift, возможно, не является изолированным событием, а частью более масштабной и устойчивой операции по проникновению, и вся система защитной безопасности децентрализованных финансов сталкивается с необходимостью фундаментального осмысления.

Часто задаваемые вопросы

Как продвигается план восстановления по делу о краже 285 млн долларов у Drift Protocol?

Протокол Drift сообщил, что в настоящее время активно разрабатывает согласованный план восстановления вместе с партнёрами. На данном этапе фокус — стабилизация обстановки и предоставление гарантий на уровне протоколов всем затронутым пользователям и партнёрам. Также заявлено о намерении участвовать в программе безопасности STRIDE, находящейся под эгидой Солана-фонда; дальнейшие подробности будут опубликованы отдельно.

Как протокол Drift подвергся атаке?

Злоумышленники выдали себя за кванто-вую торговую компанию, в течение шести месяцев через очные встречи и проникновение с применением социальной инженерии выстраивали доверие, а также заранее внесли 1 млн долларов США реальных средств для повышения правдоподобия. В итоге через тихое выполнение кода с использованием вредоносной кодовой библиотеки, поддельного приложения и уязвимостей в инструментах разработки было похищено около 285 млн долларов США.

Была ли подтверждена связь этой атаки с северокорейской разведывательной организацией?

Протокол Drift с высокой и средней степенью уверенности приписал атаку угрозной организации AppleJeus. Данные on-chain-анализа и пересекающиеся паттерны по идентичностям указывают на участие сотрудников, связанных с КНДР. Однако на данный момент компания по кибербезопасности Mandiant ещё не подтвердила официально такую атрибуцию.