Paglalarawan ng Insidente
Inilarawan ng co-founder ng Solana na si Anatoly Yakovenko ang kamakailang hack ng Drift Protocol bilang “nakakatakot”. Ayon sa kanya, ito ay resulta ng isang sopistikadong atake sa social engineering na isinagawa ng mga hacker mula sa North Korea. Sa ulat ng U.Today, nabanggit na ang Drift Protocol ay naubos ng $270 milyon, na siyang pinakamalaking hack sa kasaysayan ng Solana ecosystem. Napilitan ang protocol na itigil ang lahat ng deposito at pag-withdraw, at nagbigay ng babala sa mga gumagamit na ang insidente ay hindi isang April Fools’ joke.
Mga Detalye ng Atake
Ayon sa ulat na ibinahagi ng Drift Protocol, ang mga masamang aktor sa likod ng makasaysayang hack ay pisikal na nagmasid at nagsagawa ng social engineering sa mga developer sa totoong buhay. Nangailangan ito ng nakakabahalang pasensya at mga mapagkukunan. Malaki ang hinala na ang operasyon ay gawa ng isang grupong konektado sa estado ng North Korea.
Pagpasok sa Drift Protocol
Mula sa katapusan ng 2025, ang mga third-party intermediaries (na hindi mga mamamayan ng North Korea) ay lumapit sa mga kontribyutor ng Drift sa mga pangunahing crypto conference. Ang mga umaatake, na nagmamayabang ng mga napatunayang propesyonal na background at teknikal na kasanayan, ay nagkunwaring isang quantitative trading firm na naghahanap na makipag-ugnayan sa protocol.
Pagbuo ng Tiwala
Ang pekeng trading firm ay nakapasok sa isang Ecosystem Vault ng Drift mula Disyembre 2025 hanggang Enero 2026 at nagdeposito ng higit sa $1 milyon ng kanilang sariling kapital. Ang mga umaatake ay nagawang mapanatili ang ilusyon sa loob ng kalahating taon. Nakipagtulungan sila nang malapit sa mga kontribyutor ng Drift sa pamamagitan ng maraming working sessions at nakipagkita sa kanila nang harapan sa iba’t ibang internasyonal na conference hanggang Pebrero at Marso 2026.
Pagkakaroon ng Vulnerability
Pagsapit ng Abril, matagumpay na naitatag ng mga umaatake ang isang pinagkakatiwalaang relasyon sa negosyo. Hindi nagduda ang mga kontribyutor ng Drift nang ibinahagi ng grupo ang mga link sa mga proyektong sinasabi nilang kanilang binubuo. Isang kontribyutor ang nag-clone ng isang code repository na ibinahagi ng mga umaatake, na malamang na naglalaman ng isang kilalang kahinaan na nakakaapekto sa mga text editor na VSCode at Cursor. Isang pang kontribyutor ang nahikayat na mag-download ng isang pekeng TestFlight application.
Pagsasara ng Insidente
Naglinis ang mga umaatake ng lahat ng kanilang Telegram chats at tinanggal ang nakakapinsalang software matapos ang matagumpay na pagsasamantala.
