Drift Protocol (DRIFT) ने 5 अप्रैल को एक विस्तृत घटना अपडेट जारी किया, जिसमें बताया गया कि 1 अप्रैल को हुआ $285 मिलियन का एक्सप्लॉइट नॉर्थ कोरिया के समर्थन वाले state-backed एक्टर्स द्वारा की गई छह महीने की इंटेलिजेंस ऑपरेशन का नतीजा था।
इस खुलासे में बताया गया है कि सोशल इंजीनियरिंग का स्तर आमतौर पर होने वाले फिशिंग या रिकруटर स्कैम से कहीं आगे था, इसमें इन-पर्सन मीटिंग्स, रियल कैपिटल डिप्लॉयमेंट और महीनों तक विश्वास बनाने की कोशिश शामिल थी।
एक फेक ट्रेडिंग फर्म जिसने लॉन्ग-टर्म गेम खेला
Drift के अनुसार, एक ग्रुप जो खुद को क्वांटिटेटिव ट्रेडिंग फर्म बता रहा था, उसने पहली बार 2025 के फॉल में एक बड़े क्रिप्टो कॉन्फ्रेंस मेंcontributors से संपर्क किया।
अगले कुछ महीनों में, ये लोग कई देशों में आयोजित कई इवेंट्स में नजर आए, वर्किंग सेशन्स आयोजित किए और Vault Integrations को लेकर लगातार Telegram चैट्स करते रहे।
लेटेस्ट क्रिप्टो न्यूज़ के लिए हमें X पर फॉलो करें
दिसंबर 2025 और जनवरी 2026 के बीच, इस ग्रुप ने Drift पर एक इकोसिस्टम Vault ऑनबोर्ड किया, उसमें $1 मिलियन से ज्यादा कैपिटल डिपॉज़िट किया और प्रोडक्ट डिस्कशन में हिस्सा लिया।
मार्च तक Drift के contributors ने इन लोगों से कई बार आमने-सामने मुलाकात की थी।
“…सबसे खतरनाक हैकर्स हैकर्स जैसे नहीं दिखते,” कमेंट किया क्रिप्टो डेवेलपर Gautham ने।
यहां तक कि Web सिक्योरिटी एक्सपर्ट्स भी इसे लेकर परेशान हैं। रिसर्चर Tay ने बताया कि उन्हें शुरू में ये आम रिकरूटर स्कैम लग रहा था, लेकिन इस ऑपरेशन की गहराई बेहद चौंकाने वाली थी।
डिवाइसेज कैसे compromise हुईं
Drift ने तीन संभावित अटैक वेक्टर आइडेंटिफाई किए हैं:
- एक contributor ने vault फ्रंटेंड के लिए ग्रुप द्वारा शेयर किया गया कोड रिपॉजिटरी क्लोन किया।
- दूसरे ने एक TestFlight एप्लिकेशन डाउनलोड किया, जिसे वॉलेट प्रोडक्ट बताया गया था।
- रिपॉजिटरी वेक्टर के लिए, Drift ने VSCode और Cursor की एक जानी-मानी vulnerability का जिक्र किया, जिसे सिक्योरिटी रिसर्चर्स 2025 के अंत से हाइलाइट कर रहे थे।
इस खामी की वजह से जब भी एडिटर में कोई फाइल या फोल्डर ओपन होती थी, बिना यूजर इंटरएक्शन के, आर्बिट्ररी कोड चुपचाप एक्सीक्यूट हो जाता था।
1 अप्रैल के ड्रेन के बाद, अटैकर्स ने सारी Telegram चैट्स और मालिशियस सॉफ्टवेयर डिलीट कर दिए। Drift ने इसके बाद प्रोटोकॉल की बची हुई फंक्शन्स फ्रीज कर दी हैं और कम्प्रोमाइज्ड वॉलेट्स को multisig से हटा दिया है।
SEALS 911 टीम ने मीडियम-हाई कॉन्फिडेंस के साथ यह आकलन किया है कि अक्टूबर 2024 की Radiant Capital हैकिंग भी उन्हीं थ्रेट एक्टर्स द्वारा की गई थी, जिन्हें Mandiant ने UNC4736 के रूप में पहचाना था।
ऑन-चेन फंड फ्लो और दोनों कैंपेन के ऑपरेशनल ओवरलैप्स इस कनेक्शन का समर्थन करते हैं।
Industry ने की सिक्योरिटी रीसेट की मांग
Solana के प्रमुख डेवलपर Armani Ferrante ने हर क्रिप्टो टीम से अपील की है कि वे ग्रोथ को थोड़ी देर रोकें और अपनी पूरी सिक्योरिटी स्टैक का ऑडिट करें।
“हर टीम को यह मौका सिक्योरिटी पर फोकस करने के लिए इस्तेमाल करना चाहिए। अगर मुमकिन हो, तो एक पूरी टीम इसी काम के लिए डेडिकेट करें… अगर आपकी हैकिंग हो जाती है तो आप ग्रो नहीं कर सकते,” कहा Ferrante ने।
Drift ने बताया कि जो लोग पर्सनली मौजूद थे, वे North Korea के नागरिक नहीं थे। इस स्तर के DPRK थ्रेट एक्टर्स आम तौर पर फिजिकल इंटरैक्शन के लिए थर्ड-पार्टी इंटरमीडियरीज का यूज़ करते हैं।
Mandiant, जिसे Drift ने डिवाइस फॉरेंसिक्स के लिए एंगेज किया है, ने अभी तक औपचारिक रूप से इस एक्सप्लॉइट की एट्रीब्यूशन नहीं की है।
यह खुलासा ब्रॉडर इकोसिस्टम के लिए एक वार्निंग है। Drift ने टीमों से कहा है कि वे एक्सेस कंट्रोल्स का ऑडिट करें, मल्टीसिग को टच करने वाले हर डिवाइस को पोटेंशियल टारगेट मानें, और अगर उन्हें ऐसा कोई टारगेटिंग लगे तो SEAL 911 से तुरंत संपर्क करें।
