Em resumo
- O Drift Protocol atribuiu o recente ataque de US$ 285 milhões ao seu DEX com “confiança média-alta” ao UNC4736, um grupo de hackers afiliado ao estado norte-coreano.
- Os invasores depositaram mais de US$ 1 milhão de seu próprio capital e construíram um cofre funcional dentro do ecossistema antes de executar a exploração.
- Os malfeitores apagaram rastros instantaneamente, com bate-papos do Telegram e malware “completamente eliminados” após a execução.
Baseado em Solana troca descentralizada O Drift Protocol disse no domingo que o ataque que drenou cerca de US$ 285 milhões da plataforma foi uma operação estruturada de inteligência de seis meses por um grupo de ameaça afiliado ao Estado norte-coreano.
Os invasores usaram identidades profissionais fabricadas, reuniões de conferência presenciais e ferramentas maliciosas de desenvolvedores para comprometer os colaboradores antes de executar a drenagem, disse o protocolo em um comunicado. atualização detalhada do incidente.
“As equipes de criptografia agora enfrentam adversários que operam mais como unidades de inteligência do que como hackers, e a maioria das organizações não está estruturalmente preparada para esse nível de ameaça”, disse Michael Pearl, vice-presidente de estratégia da empresa de segurança blockchain Cyvers. Descriptografar.
Drift disse que o grupo abordou contribuidores pela primeira vez em uma grande conferência de criptografia no outono passado, apresentando-se como uma empresa de comércio quantitativo que buscava se integrar ao protocolo.
Ao longo de meses, o grupo construiu confiança por meio de reuniões presenciais, coordenação do Telegram, integrou um Ecosystem Vault on Drift e fez um depósito de US$ 1 milhão de seu próprio capital, apenas para desaparecer, com bate-papos e malware “completamente eliminados” quando a exploração ocorreu.
O DEX disse que a invasão pode ter envolvido um repositório de código malicioso, um aplicativo TestFlight falso e uma vulnerabilidade VSCode/Cursor que permitiu a execução silenciosa de código sem interação do usuário.
Drift atribuiu o ataque com “confiança média-alta” ao UNC4736, também rastreado como AppleJeus ou Citrine Sleet – o mesmo grupo afiliado ao estado norte-coreano que a empresa de segurança cibernética Mandiant vinculou ao hack da Radiant Capital de 2024.
Drift disse que os indivíduos que se encontraram pessoalmente com os colaboradores não eram cidadãos norte-coreanos, observando que os intervenientes ligados à RPDC dependem frequentemente de intermediários terceiros para “envolvimento presencial”.
Os fluxos de fundos on-chain e as personas sobrepostas apontam para atores ligados à RPDC, de acordo com os respondentes de incidentes SEAL 911, embora a Mandiant ainda não tenha confirmado a atribuição pendente de análise forense, observou a plataforma.
O pesquisador de segurança @tayvano_, um dos especialistas a quem Drift creditou pela assistência na identificação dos atores maliciosos, sugeriu que a exposição se estende muito além deste incidente.
Em um twittaro especialista listou dezenas de DeFi protocolos, alegando que “os trabalhadores de TI da RPDC construíram os protocolos que você conhece e adora, desde o verão definitivo.”
Implicações da indústria
“Drift e Bybit destacam o mesmo padrão – os signatários não foram diretamente comprometidos no nível do protocolo, eles foram enganados para aprovar transações maliciosas”, observou Pearl. “A questão central não é o número de assinantes, mas a falta de compreensão da intenção da transação.”
Ele disse que as carteiras com múltiplas assinaturas, embora sejam uma melhoria em relação ao controle de chave única, agora criam uma falsa sensação de segurança, introduzindo “um paradoxo” onde a responsabilidade compartilhada reduz o escrutínio entre os signatários.
“A segurança deve mudar para a validação pré-transação no nível do blockchain, onde as transações são simuladas e verificadas de forma independente antes da execução”, disse Pearl, acrescentando que, uma vez que os invasores controlem o que os usuários veem, a única defesa eficaz é validar o que uma transação realmente faz, independentemente da interface.
Sobre as ferramentas de desenvolvedor como superfície de ataque, Lavid disse que a suposição precisa mudar desde o início.
“Você tem que assumir que o endpoint está comprometido”, disse ele Descriptografarapontando IDEs, repositórios de código, aplicativos móveis e ambientes de signatários como pontos de entrada cada vez mais comuns.
“Se essas ferramentas básicas forem vulneráveis, qualquer coisa mostrada ao usuário – incluindo transações – pode ser manipulada”, disse o especialista, observando que isso “quebra fundamentalmente as suposições tradicionais de segurança”, deixando as equipes incapazes de confiar “na interface, no dispositivo ou mesmo no fluxo de assinatura”.
Resumo Diário Boletim informativo
Comece cada dia com as principais notícias do momento, além de recursos originais, podcast, vídeos e muito mais.
Fontedecrypt
