מתקפת סייבר מתוחכמת: פרוטוקול Drift נפרץ על ידי האקרים מצפון קוריאה
בעולם הקריפטו המהיר והמשתנה תדיר, אירועי אבטחת מידע אינם נדירים. אך המקרה האחרון של פרוטוקול Drift הצליח להפתיע ולחשוף רמת תחכום יוצאת דופן מצד האקרים מצפון קוריאה. ב-1 באפריל, פרצה כספית בשווי של 285 מיליון דולר זעזעה את הקהילה, כשהתברר כי מדובר במבצע מודיעין שנמשך שישה חודשים.
ההתקפה התחילה בכנס קריפטו גדול בסתיו 2025, כאשר קבוצה שהתחזתה לחברת מסחר כמותית פנתה לתורמים. במשך החודשים הבאים, הם המשיכו להופיע באירועים שונים, קיימו מפגשי עבודה ושמרו על קשר דרך שיחות בטלגרם. הם בנו אמון והשקיעו מעל מיליון דולר בכספת עם הון אמיתי, ובכך התקרבו לתורמי Drift.
בין דצמבר 2025 לינואר 2026, הקבוצה הצטרפה לכספת אקוסיסטם ב-Drift והשתתפה בדיוני מוצר מפורטים. עד מרץ, הם נפגשו עם תורמי Drift באופן אישי, תוך שימוש בטכניקות הנדסה חברתית מתקדמות שהרחיקו מעבר לפישינג טיפוסי או הונאות מגייסים.
דיוויד גות'אם, מפתח קריפטו בולט, התייחס למורכבות ההתקפה וציין כי "ההאקרים המסוכנים ביותר לא נראים כמו האקרים". גם מומחי אבטחת רשת הביעו דאגה מהמקרה, וציינו כי עומק המבצע והפרסונות המעורבות גורמים לחשוד שישנם צוותים נוספים בשליטה.
Drift זיהה שלושה וקטורי תקיפה סבירים. אחד מהם כלל שיבוט של מאגר קוד שהקבוצה שיתפה עבור ממשק קדמי של כספת. וקטור אחר היה הורדת אפליקציית TestFlight שהוצגה כמוצר ארנק. החולשה ב-VSCode וב-Cursor אפשרה לקוד שרירותי להתבצע ללא אינטראקציה עם המשתמש.
בעקבות ההתקפה, Drift הקפיא את פונקציות הפרוטוקול הנותרות והסיר ארנקים שנפרצו מה-multisig. צוות SEALS 911 העריך כי אותם שחקני איום היו מעורבים גם בפרצת Radiant Capital באוקטובר 2024.
לנוכח ההתקפה, ארמני פרנטה, מפתח בולט בסולנה, קרא לכל צוות קריפטו לעצור את מאמצי הצמיחה ולהתמקד באבטחת המערכות שלהם. Drift הפצירה בצוותים לבדוק בקרות גישה ולהתייחס לכל מכשיר כאל מטרה פוטנציאלית.
האם הקהילה תוכל ללמוד מהמקרה ולשפר את אבטחת המידע שלה? מה דעתכם על הדרכים שבהן ניתן למנוע התקפות דומות בעתיד? שתפו את דעתכם.