当初は突発的な攻撃と思われていたものが、長期的で高度に組織化された作戦であることが明らかになった。Drift Protocolは、2億7000万ドルのハッキングが6ヶ月間にわたる侵入キャンペーンの結果であり、北朝鮮国家関連アクターと関係があると疑われていることを公表した。
攻撃者は単純な脆弱性を悪用するのではなく、正規の量的取引会社を装い、エコシステム内に身を置きながら、ゆっくりと信頼を構築した。彼らのアプローチはデジタル詐欺を超えていた。彼らは貢献者と直接関わり、暗号資産会議に参加し、あらゆるレベルで信頼できるように見える関係を確立した。
これは襲撃型の攻撃ではなかった。計算され、忍耐強く、技術的防御だけでなく人間の信頼を回避するように設計されていた。
暗号資産会議での最初の接触
この作戦は2025年秋に始まったとされており、攻撃者が主要な暗号資産会議で最初の接触を行った。当時、即座に危険信号はなかった。このグループは、検証可能な経歴を持つ技術的に熟練した専門家として自己紹介した。
彼らは分散型金融の言語を流暢に話し、Driftのインフラと取引メカニズムに対する深い理解を示した。この専門知識レベルは、彼らが正規の貢献者やパートナーとシームレスに溶け込むのに役立った。
その後すぐに、コミュニケーションはTelegramに移り、そこで数ヶ月にわたって議論が続けられた。これらのやり取りは急いだり疑わしいものではなかった。代わりに、技術的な議論、戦略的なインプット、継続的な関与を含む、実際のコラボレーションのペースを反映していた。
一貫性と信頼性を維持することで、攻撃者はコミュニティ内で徐々に信頼を構築した。
資本とコラボレーションを通じた信頼構築
2026年1月までに、このグループは関与をさらに深めた。彼らはエコシステムVaultの導入に成功し、Drift貢献者と共に作業セッションに参加し始めた。
重要なことに、彼らは実際の資本を投入し、100万ドル以上の自己資金をプロトコルに預けた。この動きは彼らの正当性を強化し、彼らがリスクを負っていることを示した。
2月と3月を通じて、Driftエコシステムのメンバーは複数の国でこれらの個人と直接会った。これらの対面でのやり取りは、さらなる信頼の層を追加し、彼らの意図が疑われる可能性をさらに低くした。
攻撃が実行される頃には、攻撃者とコミュニティの関係はほぼ6ヶ月間確立されていた。これは分散型金融の攻撃ではめったに見られないレベルの侵入であった。
高度なエントリーポイントを活用した攻撃実行
侵害が最終的に発生したとき、それは2つの高度にターゲット化されたベクトルを通じて行われた。
1つ目は、正規のウォレット製品として提示された悪意のあるTestFlightアプリケーションが関与していた。これにより、攻撃者は新しいツールのテストを装って貢献者のデバイスへのアクセスを取得できた。
2つ目のベクトルは、VSCodeやCursorのような開発環境の既知の脆弱性を悪用した。この欠陥は数ヶ月前にセキュリティコミュニティによってフラグが立てられており、ファイルを開くだけで任意のコードの実行を可能にした。
これらの方法を組み合わせることで、攻撃者は即座の疑いを引き起こすことなく主要なデバイスを侵害することができた。内部に入ると、彼らは機密性の高いワークフローと承認メカニズムにアクセスできた。
この作戦の段階は、攻撃戦略における重要な変化を浮き彫りにしている。スマートコントラクトを直接ターゲットにする代わりに、攻撃者はそれらを取り巻く人間とツールの層にますます焦点を当てている。
最終的な流出で露呈したマルチシグの弱点
アクセスを確保した後、攻撃者は最終段階に移行した:実行。
彼らは2つのマルチシグ承認を取得し、それを使用してトランザクションを承認した。注目すべきことに、これらのトランザクションは事前に署名され、1週間以上休眠状態にされ、即座の検出を回避した。
4月1日、攻撃者は行動を起こした。1分以内に、約2億7000万ドルがDriftのボールトから流出した。
実行のスピードと精度は、介入の余地をほとんど残さなかった。トランザクションが認識された時には、資金はすでに移動されていた。
Driftはその後、この事件がマルチシグベースのセキュリティモデルの根本的な弱点を露呈していると警告している。マルチシグシステムは信頼を分散するように設計されているが、署名者自身が侵害された場合には脆弱なままである。
北朝鮮国家アクターとの関連が浮上
攻撃の調査により、作戦はUNC4736、AppleJeusまたはCitrine Sleetとしても知られるグループに関連付けられている。このエンティティは北朝鮮のサイバー作戦と広く関連付けられており、Radiant Capital攻撃を含む以前の注目度の高い攻撃と関連している。
興味深いことに、Drift貢献者と直接やり取りした個人は北朝鮮国民として特定されなかった。代わりに、彼らは精査に耐えるように設計された慎重に構築されたアイデンティティを備えた第三者仲介者であったように見える。
この階層化されたアプローチは、帰属をより複雑にする一方で、作戦の有効性を高めている。現場のアクターと調整エンティティを分離することにより、攻撃者は侵入全体を通じて妥当な正当性を維持することができた。
分散型金融セキュリティモデルへの警鐘
Driftの攻撃は、業界に不快な現実に直面することを強いている。コード監査、スマートコントラクトの脆弱性、マルチシグ保護に焦点を当てた従来のセキュリティモデルは、時間、資金、人的資源を投資する意志のある敵対者に対抗するには十分ではないかもしれない。
攻撃者が6ヶ月かけて関係を構築し、信頼を得るために資本を展開し、チームと物理的に会うことができるなら、攻撃対象領域はコードをはるかに超えて拡大する。
これは分散型金融エコシステムにとって重要な質問を提起する:このレベルの侵入を検出し防止できるセキュリティフレームワークとは何か?
現時点では、この事件は暗号資産史上最も洗練されたソーシャルエンジニアリング主導の攻撃の1つとして立っている。それは、人間の行動、運用プロセス、オンラインとオフラインのやり取りの境界線がますます曖昧になっていることを考慮した、よりホリスティックなセキュリティアプローチの必要性を強調している。
プロトコルが成長し続け、より多くの資本を引き付けるにつれて、賭け金は上昇するだけだろう。そして、このケースが示すように、次世代の攻撃は匿名のウォレットからではなく、テーブルの向かいに座っている信頼できるパートナーから来るかもしれない。
開示:これは取引または投資アドバイスではありません。暗号資産を購入したり、サービスに投資したりする前に、常にご自身で調査を行ってください。
Twitter @nulltxnews で私たちをフォローして、最新のCrypto、NFT、AI、サイバーセキュリティー、分散コンピューティング、および Metaverseニュースをチェックしてください!
ソース: https://nulltx.com/north-korea-linked-group-behind-270m-drift-hack-six-month-plot-revealed/
