DeFi開発の最大カード
クロエ、チャレンジャー
先週、Solana Loan Agreement Drift がハッキングされ、約 $285 百万のユーザアセットが盗まれました。 公式アカウントによると、これは典型的なスマートコントラクト違反の攻撃ではなく、6ヶ月分の6ヵ月間、州のハッカーによるよく計画された社会工学の攻撃でした。
攻撃者としてではなく、複数のDeFi協定の開発のコアにある脅威の同じ数の俳優が既にある可能性があるという調査的な証拠もあります。
早期ハッキング対象は、北朝鮮で一般的ですが、少額の現金が投資されます
Driftインシデントステートメントによると、攻撃者のコア戦略は「生態系の一部になる」でした。
2025年の秋以来、彼らは量的取引会社として偽装され、主要な暗号化業界の会議でDrift のコアコントリビューターに連絡し始めています。 このタイプの連絡先は1つに限定されませんが、異なる国の会議の数が6か月間意図的に動作し続けています。 Drift がどのように機能するか、技術的に専門知識、背景、そして知識を持っています。
ドリフトコアメンバーとのコミュニケーションは制限されていません。 また、Drift Eco-Stem Vault のオープン・メカニズムを使用して、正当な取引会社として独自の財務戦略を構築し、独自の資金を1億ドル以上入金し、詳細な製品の問題を上げるための作業セッションの数に参加しました。これにより、プロジェクトパートナーとの信頼の統合が可能になります。
ブロックチェーンの技術的な専門家であるChainCatcher氏がインタビューで、「韓国のハッカーが初期段階からターゲットを侵入させるための一般的な慣行であるが、信頼のための基礎として大量の現金が投資されていることは稀である。 しかし、攻撃者にとっては、攻撃が開始されていない限り、実際には1億ドルがリスクフリーの投資です。これは、単にいつでも回収できるボルトの定期的な資金です。そして、それは実際には組織自体に少しの財務損失を持っている非公式の第三者の職員を募集しています。」
また、Drift との長年にわたるコラボレーションでは、GitHub に保存されているコード項目や、独自の開発ツールの実証に基づいてアプリケーションを共有しました。 当時の状況を考えると、お互いの「コードブック」をパートナー間で見直すのは普通でした。 しかし、Driftによるフォローアップ調査では、GitHubのコードプロジェクトが1つのコントリビューターによってコピーされ、悪意のあるコードが含まれていることがわかりました。一方、ウォレット製品として偽装されたTestFlightアプリケーションをダウンロードしようとしました。
コードプロジェクトパスは、開発者の「毎日のワークフローに完全に埋め込まれているため、ガードするのは困難です。 開発者は、VSCode や Cursor などのコードエディタを使用して、毎日開いているエンジニアのWord とほぼ毎日考えています。
セキュリティ研究コミュニティは、2025年の終わりに、このタイプのエディタで深刻なループホールを見つけました。 開発者が他の人が共有するコード項目を開くためにそれを使用するとき、プロジェクト内の隠れた悪意のある指示は自動的にバックステージを実行します。プロセスは完全に隠されず、確認ウィンドウが画面にポップアップ表示されます。クリックして警告なしの許可はありません。 開発者は、単にコードを見ていたが、コンピュータは実際にバックドアに注入されました。 これは、攻撃者が毎日行う日常的な操作に悪意のあるソフトウェアを隠したこのループホールを利用することによってです。
ドリフト攻撃が行われた4月1日まで、チームのテレグラムチャットレコードと悪意のあるソフトウェアのすべての痕跡は完全にクリアされ、$ 285百万のギャップを残しました。
ドリフト、氷山の先端だけ
SEAL 911によると、暗号化業界緊急保安対応機関である、ラディアン・キャピタル・ハッカーと同じ脅威群で、2024年10月に発足しました。 Linkage は、資金のチェーンフロー(この操作の準備とテストの資金は、Radeiant 攻撃者に戻すことができます)と操作のパターン(この操作にデプロイされた人は、既知の DPRK 関連の活動で重複を識別しました)に基づいています。 Mandiant(現Google)は、Driftによって採用されたよく知られたセキュリティフォレンジック企業で、以前は韓国の州立協会UNC 4736にRadeiant事件に立ち向かったが、MandiantはまだDriftインシデントに起因していないし、完全な機器の証拠はまだ進行中です。
特に、会議に出演した個人は韓国人ではありませんでした。 スティーブン氏は、「北朝鮮ハッカーは、通常のハッカーとして見るべきではありませんが、むしろ知能機関として、数千人の人々と労働の明確な分裂を持つ大規模な組織、韓国ハッカーラザースが国際安全保障の分野での正式な名前APT38を持っていること、そしてKimsukiy、韓国の他の関連組織は、APT43の名前を持っています
実際の人々をオンラインで展開できる理由を説明します。 様々な名前で海外に企業をオープンし、自分が働いている人を知らない地元の人材を募集しています。 「彼は通常のテレワーキング会社に入社し、クライアントを満たすために1年後に割り当てられたと考えたかもしれませんが、結局のところハッカー組織でした。 陪審員が来るとき、男は何も知りません
今日、ドリフトは氷山の先端に過ぎません。
Driftインシデントが単一の合意の違反を明らかにした場合、次の調査ポイントはより大きな問題になります:同じ方法は、長年にわたりDeFiエコロジーを通じて動作している可能性があります。
ブロックチェーンの研究者による調査によると、Tayvanoは、2020年にDeFiの急速な拡大以来、北朝鮮IT労働者に関連したコードコントリビューションは、SushiSwap、Thorchain、Harmony、Ankr、Yirn Financeを含む多くの有名なプロジェクトに普及しています。
Drift イベントで同じメソッドが使用されます。偽のアイデンティティの使用、フリーフローティングプラットフォームによる開発ロールの獲得、ダイレクトコンタクト、Discord チャネルへのアクセス、開発コミュニティへの参加、開発コミュニティへの参加など。 プロジェクト内では、コードをコントリビュートし、開発サイクルに参加し、合意の枠組み全体がマッピングされ、移動するまで、チームと信頼を築きます。
スティーブンは、従来の知能機関において、生涯を待ち受けるだけでなく、次世代でさえ、前世代の未完成のタスクを継続できると信じています。 それらのためのWeb3プロジェクトの短時間枠と高値化の性質, そして、テレワークの性質は、同時に複数のプロジェクトで複数のジョブを持つ人を可能にしているという事実, 実際にWeb3業界で共通であり、任意の疑いに上昇しません。
「北朝鮮ハッカーは、攻撃の範囲内のすべてのWeb3プロジェクトを含め、各プロジェクトを慎重にスクリーニングし、チームメンバーに関する情報を収集します。 プロジェクトのパーティー自体よりもプロジェクトについてもっと詳しく知る。 スティーブン 彼は言った。 Web3は、高水準の生態学的資金、グローバル統合規制の欠如、テレワークによるパートナーや従業員の真のアイデンティティの検証の広範な欠如、より広範な実践者や不十分な社会的経験と組み合わせ、北朝鮮諜報機関のための理想的な浸透環境を提供します。
ハッカーは頻繁で、プロジェクターは死ぬのを待っていますか
近年の主な出来事を振り返ってみると、社会工学は常に韓国ハッカーグループのコアツールとなっています。 2019年5月に700台のビットコインの盗難を呼び起こす最近の日本のコイン・アン・ファンデーションのCZ記念品「Bian's Life」の発売に精通しました。 CZによると、ハッカーは最初に高度なウイルスを介して複数の従業員のラップトップを侵略し、その後、コイン転送プロセスの最後のステップで悪意のある指示を注入し、ホットウォレットから700のビットコインを1 a.mで盗む。(当時約40万ドルの価値あり)。 CZは、アサルトの方法の面で、ハッカーはネットでしばらくの間潜んでいると述べ、北朝鮮ラザールスであったと疑わしいと、おそらく内部の従業員を埋めた。
2022年ロニンネットワークも古典的なケースでした。 ロニンは、ロックインが大きかった時に、ゲーム内のすべてのアセットのクロスチェーン転送を処理するAxie Infinityのホットドアチェーンの裏側です。 攻撃は、よく知られている会社から来るために登場した非常に有料の投稿のために開発者が受け取った招待状によるものであり、悪意のある手順を含む文書は、インタビュープロセス中にダウンロードされました。これにより、不安定な内部システム権限を得、最終的には625万ドルのストールが得られた。
2023年、コインパッド事件はほぼ同じでした。 CoinsPaidは、暗号化されたお金の支払いを処理するサービスです。また、偽造された採用プロセスによって従業員に近づいて、悪意のあるソフトウェアをインストールし、システムを入力するように誘導しました。 最近のハッキング方法は、偽のビデオ通話、侵襲的なソーシャルアカウント、および会議ソフトウェアとして偽装した悪意のあるプログラムなど、より多様です。
Victimsは一見通常のCalendly会議のリンクを受け取った, クリックし、悪意のあるソフトウェアストール財布、パスワード、補助的な言葉と対応レコードを介して、偽の会議アプリケーションのインストールにつながりました. つまり、韓国のハッカーグループだけでは300万ドル以上盗まれたと推定されます。
同時に、盗まれた資金の最終的な場所は懸念されています。 盗まれた資金が最終的に韓国政府の制御の下で流れているスティーブン州。 マネー・ローンダリングは、組織内の専門チームによって行われます。独自の通貨・ミキサーを開き、多数の取引所で偽のアイデンティティの下で口座を開きます。 資金は、盗まれた最初の時点で、個人通貨に変換され、異なるDeFiプロジェクトを介してクロスチェーン転送され、取引所とDeFiの間で繰り返されます。
「全工程は30日以内に完了し、最終的には南東アジアのカジノ、KYCを必要としなかった小規模な取引所、香港、中国、南東アジアのオフサイト取引(OTC)サービスプロバイダに資金がリリースされました。」
どのようにして、暗号化業界はこの新しい脅威モデルに応答する必要があります。これは単なる攻撃者ではなく、参加者ですか
スティーブンは、大規模な資金のプロジェクトマネージャーが、チーム内の専用のセキュリティポジションでプロフェッショナルなセキュリティチームを雇うべきだと信じ、すべてのコアメンバーは厳密にセキュリティの規準を守らなければならないと確信しています。 金融署名のための機器や機器の開発のための機器は、厳密に物理的に隔離されることが重要です。 特に、Drift の場合の重要な問題は、タイムロックを解除したバッファ機構で、「これはいつでも持ち上げられない」と指摘した
しかし、DPRK の s の s の s の s の s の s の s の s の s の s の s の s の s の s の s の s の s の s の s の s の s の s の s の s の s の s の の s の の s s の の の の s s の s s の の の の を 分 分 分 の の の の 分 分 分 の の 分 の の 分 の の の の の 分 の の の の の の の の の 分 分 分 の の の 分 の の 分 分 の の の の 分 の の の の の しかし、セキュリティチームの導入は重要なままです。 プロジェクト・パーティーは、機器や行動のセキュリティを向上させるだけでなく、キー・ノードを継続的に監視し、異常な変動の場合には、最初の場所で攻撃を検知して応答するという青チーム(つまり、サイバー攻撃の防御チーム)を導入することを示唆しました。 「このプロジェクトのセキュリティ能力は、このようなレベルの攻撃に耐えるのに十分ではありません。」
彼は、米国、ロシア、中国、イスラエルに次ぐ世界トップ5に、北朝鮮のサイバー・ウォーの能力が現在あったと付け加えた。 このレベルのライバルに直面し、コード監査だけで十分です。
特定商取引法に基づく表示
Driftインシデントは、今日のDeFiが最も深刻な脅威だけでなく、モビリティに直面していることを証明しています。また、スピーズが隠れる可能性があるため、コードのループホールを守るのは安全ではありません。
攻撃者が6ヶ月を費やすことを喜んでいるとき、何百万ドルの関係で、伝統的なコード監査とセキュリティラインは単に不十分です。 既存の調査によると、この技術は、まだ発見されていないが、複数のプロジェクトで長年にわたって動作してきた可能性があります。
DeFi の ' s は、分散されオープンを維持する能力は、もはや中央ではありませんが、実際の質問は、層状にパッケージされたライバルの浸入に抵抗しながら開くことができるかどうかです。
