DeFi 개발의 최대 카드
작성자: Chloe
지난 주 Solana Loan Agreement Drift는 해킹 및 사용자 자산의 약 $ 285 백만은 도난 당했다. 공식 계정에 따르면, 이것은 전형적인 스마트 계약 위반 공격이 아니지만 6 개월 이상, 국가 해커에 의해 잘 계획 된 사회 공학 공격。
공격자는 이미 여러 DeFi 계약 개발의 핵심에있을 수 있음을 조사한 증거도 있지만 기여자로서도 있습니다。
초기 해킹 대상은 북한에서 일반적이지만 매우 작은 현금은 투자됩니다
드리프트 사건 진술에 따르면 공격자의 핵심 전략은 " 생태계의 일부가되었습니다."。
2025년 가을부터, 그들은 정량 거래 회사로 분리되고 주요 암호화 산업 회의에서 Drift 's 핵심 기여자에 연락하기 시작했다. 접촉의 이 유형은 하나에 한정되지 않습니다, 그러나 다른 국가를 통하여 회의의 수는, 6 달 동안 의도적으로 운영하는 계속. 이 사람들은 기술 전문성, 배경을 가지고 있으며 Drift가 어떻게 작동하는지 알고 있습니다。
그들은 드리프트 코어 회원과의 대화를 제한하지 않습니다. 팀은 또한 Drift Eco-Stem Vault의 Open Mechanism을 사용하여 합법적 인 거래 회사로서의 자신의 재무를 성공적으로 구축하고 자체 자금의 1 백만 달러 이상을 입금하고 심층적인 제품 문제를 제기하기 위해 작업 세션의 수에 참여하고 프로젝트 파트너와 신뢰를 통합합니다。
ChainCatcher와의 인터뷰에서, 스티븐은 블록 체인의 기술 전문가, 말했다 : "초기 단계에서 대상을 침투하기 위해 한국 해커의 일반적인 연습이지만, 현금의 큰 양이 신뢰를 기준으로 투자한다는 것은 드문다. 공격자들을 위해, 그러나, $ 1 백만은 사실 위험이없는 투자, 이는 공격이 시작되지 않는 한, 단순히 어떤 시간에 retrieved 할 수있는 취약점에 대한 일반 기금입니다; 실제로 조직 자체에 약간의 재정적 손실을 가지고있는 제 3 자 인력을 모집하고있다. "
또한, Drift와 오랜 협력에서 팀은 GitHub에 저장된 코드 항목을 공유, 뿐만 아니라 응용 프로그램, 자체 개발 도구의 기초에. 시간에 상황을주십시오, 그것은 파트너 중 각 다른 's 부호 책을 볼 정상적이었다. 그러나, Drift의 후속 조사는 GitHub 코드 프로젝트가, 이는 하나의 기여자에 의해 copied, 악성 코드 포함, 다른 지갑 제품으로 분해 TestFlight 응용 프로그램을 다운로드하기 위해 유도 된 동안。
코드 프로젝트 경로는 개발자의 일일 워크플로우에 완전히 내장되어 있기 때문에 보안이 어렵습니다. 개발자는 거의 항상 VSCode 또는 Cursor와 같은 코드 편집기를 사용하여 엔지니어의 Word로 생각하고 매일 열립니다。
보안 연구 커뮤니티는 2025 년 말에 편집기의이 유형의 심각한 루프홀을 발견했습니다. 개발자가 다른 사람이 공유하는 코드 항목을 열 때, 프로젝트의 숨겨진 악의적 인 지침은 자동으로 backstage를 실행하고, 프로세스는 완전히 숨겨지지 않으며 확인 창이 화면에 팝업되지 않습니다, 클릭하고 경고가 없습니다. 개발자들은 코드를 보고 있었지만, 컴퓨터는 실제로 뒷문에 삽입되었습니다. 그것은 공격자가 매일 개발자가 할 수있는 일상적인 운영으로 악성 소프트웨어를 숨겨지은이 루프홀을 악용함으로써입니다。
4 월 1 일까지, 드리프트 공격이 일어났을 때, 팀의 텔레그램 채팅 기록과 악의적 인 소프트웨어의 모든 흔적은 완전히 명확하게되어 $ 285 백만의 갭을 떠난다。
드리프트, 어쩌면 단지 아이스 버그의 끝
SEAL 911에 따르면 암호화 산업 비상 보안 응답 조직은 Radiant Capital 해커와 같은 위협 그룹에 의해 10 월 2024에서 공격을 수행했습니다. Linkage는 자금의 체인 흐름을 기반으로합니다 (이 작업의 준비 및 테스트에 대한 환불은 Radiant 공격자에 다시 추적 할 수 있습니다) 및 작업의 패턴 (이 작업에 배치 된 사람은 알려진 DPRK 관련 활동과 오버랩을 식별했습니다). Mandiant (현재 Google 아래)는 Drift가 고용 한 잘 알려진 보안 법안 회사는 이전에 한국 정부 기관 UNC 4736에 Radiant 사건을 발견했습니다. Mandiant는 아직 Drift 사건을 공식화하지 않았으며, 완전한 장비 증거는 여전히 진행 중입니다。
특히, 회의에 출연한 개인은 한국이 아니었다. 스티븐은 “북한 해커는 일반 해커로 볼 수 없다, 오히려 인텔리전스 기관으로, 수천 명의 사람들과 뚜렷한 부를 가진 큰 조직, 한국 해커 Lazarus는 국제 보안 분야에서 공식 이름 APT38을 가지고, 김스키, 한국의 또 다른 제휴 조직, 이름이 APT43”
이것은 그들이 온라인 실제 사람들을 배치 할 수있는 이유를 설명합니다. 그들은 다양한 이름에서 해외 회사를 열고 그들이 일하는 것을 알지 못하는 현지 인사를 모집합니다. "그는 그가 정상적인 teleworking 회사에 합류 한 것을 생각하고 그 후 그는 클라이언트를 만나기 위해 1 년 후 할당 된 것이었지만, 그 뒤에는 해커 조직이었다. 부활절이 온다 때, 남자는 아무것도 모른다."
오늘, 드리프트는 빙산의 끝일 수 있습니다。
드리프트 사건이 단일 합의의 위반을 드러내는 경우, 더 큰 문제의 다음 조사 점 : 몇 년 동안 DeFi 생태를 통해 작동 할 수있는 동일한 방법。
블록 체인 연구가 조사에 따르면, Tayvano는 2020 년 DeFi의 급속한 확장 이후 북한 IT 근로자와 관련된 코드 기여는 SushiSwap, Thorchain, Harmony, Ankr 및 Yirn Finance를 포함하여 잘 알려진 프로젝트의 수로 확산했습니다。
같은 방법은 드리프트 이벤트에서 사용됩니다 : false identities의 사용, 자유롭 흐르는 플랫폼을 통해 개발 역할의 인수 및 직접 접촉, Discord 채널에 액세스, 개발 커뮤니티 및 개발 커뮤니티에 참여. 프로젝트 내에서, 그들은 코드에 기여, 개발 사이클에 참여, 그리고 계약의 전체 프레임 워크가 지도되고 이동 될 때까지 팀과 신뢰를 구축。
스티븐은 전통 인텔리전스 기관에서, 그들은 일생을 기다릴 수, 그리고 다음 세대, 이전 세대의 완성 된 작업을 계속. Web3 프로젝트의 짧은 시간 프레임과 높은 평가 자연은 그들을 위해, 그리고 teleworking의 성격이 동일한 시간에 여러 프로젝트에서 여러 작업을 할 수 있다는 사실, 실제로 Web3 산업에 공통되고 어떤 suspicion에 상승하지 않습니다。
"북한 해커는 공격 범위의 모든 웹3 프로젝트를 포함 할 것이며 각 프로젝트의 신중하게 심사 및 팀 구성원에 정보를 수집합니다. 그들은 프로젝트 파티 자체보다 프로젝트에 대해 더 알고 있습니다. " 스티븐 그는 말했다. Web3는 생태 펀딩의 고도로 인해 주요 대상이며, 글로벌 통합 규정의 부족으로, 파트너 및 직원의 진정한 신원의 검증이 부족하여 파업의 광범위한 청소년과 북한 정보 기관의 이상적인 침투 환경을 제공하는 충분한 사회적 경험으로 결합되어 있습니다。
해커는 잦고, 프로젝트는 죽을 기다리고 있습니까
최근 몇 년의 주요 행사에서 다시보고, 사회 공학은 항상 한국 해커 그룹의 핵심 도구였다. 최근 일본 코인-Ann Foundation의 CZ memoir "Bian's Life"를 출시하여 2019 년 5 월 700 비트 코인을 회수했습니다. CZ에 따르면, 해커는 먼저 고급 바이러스를 통해 여러 직원의 노트북을 침략 한 다음 동전 전송 프로세스의 마지막 단계에 악의적인 지시를 주입, 1 a.m에서 뜨거운 지갑에서 모든 700 비트를 훔쳤다. (시간에 약 US $ 40 백만의 값). CZ는 assault의 방법의 관점에서, 해커는 북한 Lazarus이었다 고 의심의 여지없이 몇 시간 동안 그물에 흠뻑 취하고, 심지어 내부 직원을 bribed。
2022 론인 네트워크는 클래식 케이스였습니다. Ronin은 Axie Infinity의 핫 도어 체인의 뒷면이며, 잠금에서 큰 때 게임의 모든 자산의 크로스 체인 전송을 처리합니다. 공격은 잘 알려진 회사에서 온 매우 유료 게시물에 대한 개발자에 의해 수신 된 초대로 인해, 그리고 악의적 인 절차가 인터뷰 과정에서 다운로드 된 문서를 포함, assailant 얻은 내부 시스템 권한 및 결국 훔친 $625 만。
2023 년 CoinsPaid 사건은 거의 동일했습니다. CoinsPaid, 암호화 된 돈의 지불을 처리하는 서비스, 또한 강제적인 소프트웨어를 설치하고 시스템을 입력하기 위해 직원에 접근. 최근 해킹 방법은 더 다양합니다: 가짜 비디오 통화, 침략적인 사회 계정, 그리고 악성 프로그램은 회의 소프트웨어로 분리。
Victims는 겉으로 정상적인 달력 회의 링크를 받고, 클릭하고 악성 소프트웨어 훔친 지갑, 암호, 보조 단어 및 대응 기록을 통해 가짜 회의 응용 프로그램의 설치에 주도. 즉, 한국 해커 그룹은 300 백만 달러 이상을 훔친 것으로 추정됩니다。
동시에, 도난 자금의 마지막은 우려입니다. 스티븐은 결국 한국 정부의 통제 아래에서 자금을 훔쳤다. Money-laundering은 조직 내에서 전문 팀에 의해 수행되며, 자신의 통화 믹서를 열고 수많은 거래소에서 false identities에서 계좌를 개설하고 프로세스를 완료하고 복잡하게 설정하십시오. 펀드는 처음에 개인화폐로 변환되며, 교환 및 DeFi 사이에서 반복적으로 흐르는 다른 DeFi 프로젝트를 통해 크로스 체인 전송에 의해 수행됩니다。
"전체 프로세스는 약 30 일 이내에 완료되었으며, 자금은 결국 홍콩, 중국 및 동남 아시아에서 KYC 및 오프 사이트 거래 (OTC) 서비스 제공 업체가 필요하지 않은 작은 교환의 손에 출시되었습니다."
암호화 산업은이 새로운 위협 모델에 응답해야하지만 공격자가 아니라 참가자는
스티븐은 대규모 자금의 프로젝트 관리자가 팀 내에서 전용 보안 직책을 가진 전문 보안 팀을 고용하고 모든 핵심 구성원이 엄격하게 보안 분야를 관찰해야한다고 믿는다. 금융 서명을 위한 장비 및 장비를 개발하는 것은 특히 중요합니다. 특히, 그는 드리프트의 경우 키 문제가 버퍼 메커니즘이었다, 이는 시간 잠금을 제거했다, "이 언제든지 들어 올릴 수 없습니다"
그러나 그는 또한 DPRK의 인텔리전스 서비스를 완전히 식별하기가 어려울 것이라고 밝혔다. 그러나 보안 팀의 소개는 중요. 그는 프로젝트 파티가 장비와 행동의 보안을 개선하는 데 도움이되지 않는 사이버 공격에 대한 방어적인 팀 (즉, 사이버 공격에 대한 방어적인 팀)을 소개하는 것을 제안했지만, 지속적으로 주요 노드를 모니터링하고, 예외적 변동의 경우, 먼저 공격을 감지하고 응답 할 것입니다. "프로젝트의 자체 보안 용량은 혼자는 이러한 수준의 공격을 견딜 수 충분하지 않습니다."
북한의 사이버워 기능은 현재 미국, 러시아, 중국, 이스라엘 이후 세계에서 상위 5위 중 하나였습니다. 이 수준에서 경쟁으로 직면, 혼자 감사하는 코드는 충분합니다。
관련 상품
드리프트 사건은 오늘 DeFi가 가장 심각한 위협뿐만 아니라 이동성에 직면하고 있으며 코드 루프홀에 대한 보호뿐만 아니라 스파이스가 주변을 숨길 수 있기 때문에 안전합니다。
공격자는 관계에 6 개월 및 수백만 달러를 지출 할 때, 전통적인 코드 감사 및 보안 라인은 단순히 inadequate입니다. 기존 설문 조사에 따르면,이 기술은 아직 발견되지 않았더라도 여러 프로젝트에서 몇 년 동안 작동 할 가능성이 있습니다。
DeFi 's 능력은 탈중앙화되고 개방은 더 이상 중심이 아니지만 실제 질문은 계층화 된 라이벌의 침투에 저항하면서 열릴 수 있는지 여부입니다。
