Ngày 5 tháng 4, Drift Protocol (DRIFT) đã công bố bản cập nhật chi tiết về sự cố, tiết lộ rằng vụ tấn công trị giá 285 triệu đô la vào ngày 1 tháng 4 là kết quả của một chiến dịch tình báo kéo dài sáu tháng được cho là do các tác nhân được nhà nước Triều Tiên hậu thuẫn thực hiện.
Thông tin tiết lộ mô tả một mức độ thao túng tâm lý vượt xa các chiêu trò lừa đảo qua email hoặc tuyển dụng thông thường, bao gồm các cuộc gặp mặt trực tiếp, đầu tư Vốn thực tế và nhiều tháng xây dựng lòng tin.
Một công ty giao dịch giả mạo đã chơi trò chơi dài hạn.
Theo Drift, một nhóm giả danh là công ty giao dịch định lượng đã tiếp cận các cộng tác viên tại một hội nghị tiền điện tử lớn vào mùa thu năm 2025.
Trong những tháng tiếp theo, những cá nhân này đã xuất hiện tại nhiều sự kiện ở nhiều quốc gia khác nhau, tổ chức các buổi làm việc và duy trì các cuộc trò chuyện liên tục trên Telegram về việc tích hợp kho dữ liệu.
Hãy theo dõi chúng tôi trên X để nhận được những tin tức mới nhất ngay khi chúng xảy ra.
Từ tháng 12 năm 2025 đến tháng 1 năm 2026, nhóm đã thiết lập một Ecosystem Vault trên Drift, gửi hơn 1 triệu đô la Vốn và tham gia vào các cuộc thảo luận chi tiết về sản phẩm.
Đến tháng 3, các cộng tác viên của Drift đã gặp gỡ những cá nhân này trực tiếp nhiều lần.
“…những hacker nguy hiểm nhất không hề trông giống hacker,” nhà phát triển mật mã Gautham nhận xét .
Ngay cả các chuyên gia an ninh mạng cũng thấy điều này đáng lo ngại, nhà nghiên cứu Tay chia sẻ rằng ban đầu cô ấy nghĩ đây chỉ là một trò lừa đảo tuyển dụng thông thường nhưng thấy mức độ nghiêm trọng của hoạt động này còn đáng báo động hơn nhiều.
Các thiết bị đã bị xâm nhập như thế nào?
Drift đã xác định ba hướng tấn công khả thi:
- Một thành viên đã sao chép kho mã nguồn mà nhóm chia sẻ, dùng để tạo giao diện người dùng cho Vault.
- Người thứ hai đã tải xuống ứng dụng TestFlight được giới thiệu như một sản phẩm ví điện tử.
- Đối với vectơ kho lưu trữ, Drift đã chỉ ra một lỗ hổng đã biết trong VSCode và Cursor mà các nhà nghiên cứu bảo mật đã cảnh báo từ cuối năm 2025.
Lỗ hổng đó cho phép mã tùy ý được thực thi một cách âm thầm ngay khi một tệp hoặc thư mục được mở trong trình chỉnh sửa, mà không cần sự tương tác của người dùng.
Sau vụ đánh cắp dữ liệu ngày 1 tháng 4 , những kẻ tấn công đã xóa sạch tất cả các cuộc trò chuyện Telegram và phần mềm độc hại. Kể từ đó, Drift đã đóng băng các chức năng giao thức còn lại và loại bỏ các ví bị xâm phạm khỏi hệ thống đa chữ ký.
Nhóm SEALS 911 đánh giá với độ tin cậy trung bình đến cao rằng cùng một nhóm tin tặc đã thực hiện vụ tấn công mạng vào Radiant Capital hồi tháng 10 năm 2024, mà Mandiant cho là do nhóm UNC4736 gây ra .
Luồng tiền on-chain và sự chồng chéo về hoạt động giữa hai chiến dịch củng cố mối liên hệ đó.
Ngành công nghiệp kêu gọi thiết lập lại an ninh.
Armani Ferrante, một nhà phát triển nổi tiếng Solana , đã kêu gọi mọi nhóm phát triển tiền điện tử tạm dừng các nỗ lực tăng trưởng và kiểm tra toàn bộ hệ thống bảo mật của họ.
“Mọi nhóm trong lĩnh vực tiền điện tử nên tận dụng cơ hội này để chậm lại và tập trung vào bảo mật. Nếu có thể, hãy dành toàn bộ một nhóm cho việc này… bạn không thể phát triển nếu bị tấn công ,” Ferrante nói .
Drift lưu ý rằng những cá nhân xuất hiện trực tiếp không phải là công dân Triều Tiên. Các tác nhân đe dọa của CHDC Triều Tiên ở cấp độ này được biết là thường sử dụng bên thứ ba làm trung gian để tiếp xúc trực tiếp.
Mandiant, công ty mà Drift đã thuê để phân tích dữ liệu thiết bị, vẫn chưa chính thức xác nhận đây là lỗ hổng bảo mật bị khai thác.
Việc tiết lộ thông tin này đóng vai trò như một lời cảnh báo cho toàn bộ hệ sinh thái. Drift kêu gọi các nhóm kiểm tra lại các biện pháp kiểm soát truy cập, coi mọi thiết bị có liên quan đến chữ ký đa chữ ký là mục tiêu tiềm tàng và liên hệ với SEAL 911 nếu nghi ngờ có hành vi nhắm mục tiêu tương tự.
