Kartu Maksimal Pengembangan DeFi
Oleh Chloe, Challenger
Minggu lalu, Drift Perjanjian Loan Solana diretas dan sekitar $285 juta aset pengguna dicuri. Menurut laporan resmi, ini bukan serangan pelanggaran kontrak cerdas biasa, tapi 6 bulan yang panjang, direncanakan dengan baik serangan rekayasa sosial oleh hacker negara。
Bahkan ada bukti investigasi bahwa jumlah aktor ancaman yang sama mungkin sudah berada di inti dari pengembangan perjanjian beberapa DeFi, bukan sebagai penyerang, tetapi sebagai kontributor。
Awal hacking target umum di Korea Utara, tetapi sangat sedikit kas diinvestasikan
Menurut pernyataan insiden Drift, strategi inti dari penyerang adalah "menjadi bagian dari ekosistem"。
Sejak kejatuhan tahun 2025, mereka telah menyamar sebagai perusahaan perdagangan kuantitatif dan telah mulai menghubungi kontributor utama Drift pada pertemuan besar di industri enkripsi. Kontak seperti ini tidak terbatas pada satu orang, namun beberapa pertemuan di berbagai negara, yang terus beroperasi dengan sengaja selama enam bulan. Orang-orang ini memiliki keahlian teknis, latar belakang, dan tahu bagaimana Drift bekerja。
Dan mereka tidak terbatas untuk berkomunikasi dengan anggota inti Drift. Tim ini juga menggunakan Open Mechanism dari Drift Eco-Stem Vault untuk berhasil membangun perbendaharaan sendiri sebagai perusahaan perdagangan yang sah, menyimpan lebih dari $1 juta dari dana sendiri dan berpartisipasi dalam sejumlah sesi kerja untuk meningkatkan masalah produk indepth, sehingga mengkonsolidasikan kepercayaan dengan mitra proyek。
Dalam sebuah wawancara dengan ChainCatcher, Steven, seorang ahli teknis dalam rantai blok, berkata: "Ini adalah praktek umum bagi hacker Korea untuk menyusup target dari tahap awal, tetapi jarang bahwa sejumlah besar uang tunai diinvestasikan sebagai dasar kepercayaan. Bagi penyerang, bagaimanapun, $1 juta sebenarnya adalah investasi bebas berisiko, yang, selama serangan tidak diluncurkan, hanya dana biasa di lemari besi yang dapat diambil setiap saat, dan sebenarnya direkrut personil pihak ketiga yang tidak diketahui yang memiliki sedikit kerugian keuangan untuk organisasi itu sendiri."
Selain itu, dalam kolaborasi yang lama berdiri dengan Drift, tim berbagi item kode yang tersimpan di GitHub, serta aplikasi, atas dasar menunjukkan perangkat pengembangan sendiri. Mengingat keadaan pada saat itu, itu akan menjadi normal untuk melihat satu sama lain kode buku di antara mitra. Namun, penyelidikan yang diikuti oleh Drift menemukan bahwa proyek kode GitHub, yang disalin oleh satu kontributor, berisi kode berbahaya, sementara yang lain diinduksi untuk mengunduh aplikasi TestFlight menyamar sebagai produk dompet。
Path projek kode sulit untuk dijaga karena sepenuhnya tertanam dalam alur kerja harian pengembang. Pengembang hampir selalu menggunakan penyunting kode seperti VSCode atau Cursor untuk menganggapnya sebagai Firman sang insinyur, yang terbuka setiap hari。
Komunitas riset keamanan menemukan celah serius dalam jenis editor pada akhir 2025: Ketika pengembang menggunakannya untuk membuka item kode yang orang lain berbagi, instruksi berbahaya tersembunyi dalam proyek secara otomatis dijalankan di belakang panggung, proses benar-benar tersembunyi dan tidak ada jendela konfirmasi akan muncul di layar, tidak ada hak untuk mengklik dan tidak ada peringatan. Para pengembang pikir mereka hanya melihat kode, tapi komputer sebenarnya ditanamkan di pintu belakang. Dengan mengeksploitasi celah ini bahwa penyerang menyembunyikan perangkat lunak berbahaya mereka ke dalam operasi sehari-hari yang pengembang lakukan setiap hari。
Sampai April 1, ketika serangan Drift terjadi, tim Telegram catatan chat dan semua jejak perangkat lunak berbahaya benar-benar dibersihkan, meninggalkan kesenjangan $285 juta。
Drift, mungkin hanya ujung gunung es
Menurut SEAL 911, organisasi respon darurat industri enkripsi keamanan darurat, serangan dilakukan pada Oktober 2024 oleh kelompok yang sama ancaman sebagai hacker Radiant Capital. Hubungan didasarkan pada rantai aliran dana (dana untuk persiapan dan pengujian operasi ini dapat ditelusuri kembali ke penyerang Radiant) dan pola operasi (orang-orang yang dikerahkan dalam operasi ini telah mengidentifikasi tumpang tindih dengan aktivitas DPRK yang dikenal). Sementara Mandiant (sekarang di Google), sebuah perusahaan forensik keamanan yang dikenal baik yang disewa oleh Drift, telah sebelumnya dikaitkan insiden Radiant ke Korea organisasi terkait UNC 4736, Mandiant belum resmi dikaitkan insiden Drift, dan bukti peralatan lengkap masih berlangsung。
Secara khusus, orang yang muncul pada pertemuan itu bukanlah warga negara Korea. Steven menyatakan bahwa "hacker Korea Utara tidak boleh dilihat sebagai hacker biasa, tapi sebagai badan intelijen, sebuah organisasi besar dengan ribuan orang dan pembagian tenaga kerja yang jelas, di mana peretas Korea Lazarus memiliki nama resmi APT38 di bidang keamanan internasional, dan Kimsukiy, organisasi lain yang berafiliasi Korea, memiliki nama APT43"
Hal ini menjelaskan mengapa mereka dapat menyebarkan orang-orang nyata secara online. Mereka membuka perusahaan di luar negeri dengan berbagai nama dan merekrut personil lokal yang bahkan tidak tahu mereka bekerja untuk siapa. "Dia mungkin berpikir bahwa ia telah bergabung dengan perusahaan teleworking normal dan bahwa ia telah ditugaskan setahun kemudian untuk bertemu klien, semuanya tampak normal, tapi di belakangnya adalah sebuah organisasi hacker. Pada saat pengadilan datang, orang itu tahu apa-apa."
Hari ini, Drift mungkin hanya puncak gunung es。
Jika insiden Drift mengungkapkan pelanggaran satu kesepakatan, penyelidikan berikutnya mengarah pada masalah yang lebih besar: metode yang sama, yang mungkin telah beroperasi di seluruh DeFi ekologi selama bertahun-tahun。
Menurut survei oleh peneliti rantai blok, Tayvano, sejak ekspansi DeFi pada tahun 2020, kontribusi kode yang dihubungkan dengan pekerja TI Korea Utara telah menyebar ke sejumlah proyek yang terkenal, termasuk SushiSwap, Thorchain, Harmony, Ankr dan Yirn Finance。
Metode yang sama digunakan dalam acara Drift: penggunaan identitas palsu, akuisisi peran pembangunan melalui platform yang mengalir bebas dan kontak langsung, akses ke saluran Discord, komunitas pengembangan dan bahkan partisipasi dalam komunitas pembangunan. Setelah di dalam proyek, mereka berkontribusi kode, berpartisipasi dalam siklus pengembangan, dan membangun kepercayaan dengan tim sampai seluruh kerangka perjanjian dipetakan dan pindah。
Steven percaya bahwa dalam badan intelijen tradisional, mereka bahkan bisa menunggu seumur hidup, dan bahkan generasi berikutnya, untuk melanjutkan tugas yang belum selesai dari generasi sebelumnya. Pendek jangka pendek dan high- menghasilkan sifat dari proyek Web3 bagi mereka, dan fakta bahwa sifat teleworking memungkinkan seseorang untuk memiliki beberapa pekerjaan dalam berbagai proyek pada saat yang sama, sebenarnya umum dalam industri Web3 dan tidak menimbulkan kecurigaan apapun。
"Peretas Korea Utara akan mencakup semua proyek Web3 dalam lingkup serangan, dengan hati-hati memeriksa setiap proyek dan mengumpulkan informasi pada anggota tim. Mereka tahu lebih banyak tentang proyek daripada partai proyek itu sendiri". Steven bilang. Web3 adalah target utama karena pendanaan ekologi tingkat tinggi, kurangnya regulasi integrasi global, kurangnya validasi dari identitas sebenarnya dari mitra dan karyawan karena teleworking, digabungkan dengan pemuda yang luas dari praktisi dan pengalaman sosial yang tidak cukup, yang menyediakan lingkungan penetrasi yang ideal untuk lembaga-lembaga intelijen Korea Utara。
Para hacker sering, dan proyektor sedang menunggu untuk mati
Melihat kembali peristiwa-peristiwa besar dalam beberapa tahun terakhir, rekayasa sosial selalu menjadi alat utama dari kelompok hacker Korea. Ini bertepatan dengan peluncuran baru-baru ini koin- Ann Foundation CZ memoir "Bian 's Life" yang disebut kembali pencurian 700 bitcoin pada Mei 2019. Menurut CZ, peretas pertama kali menginvasi laptop beberapa karyawan melalui virus canggih, kemudian menanamkan instruksi berbahaya dalam langkah terakhir dari proses transfer koin, mencuri semua 700 bitcoin dari dompet panas pukul 1 pagi (dengan nilai sekitar US $40 juta saat itu). CZ menulis bahwa, dalam hal metode penyerangan, hacker telah bersembunyi di jaring selama beberapa waktu, dengan kecurigaan tinggi bahwa itu adalah Korea Utara Lazarus, dan bahkan mungkin menyuap karyawan internal。
Jaringan Ronin 2022 juga merupakan kasus klasik. Ronin adalah belakang dari rantai pintu panas Axie Infinity, yang menangani transfer lintas rantai dari semua aset dalam permainan, pada saat penguncian besar. Serangan itu karena undangan yang diterima oleh pengembang untuk pos yang dibayar tinggi yang tampaknya berasal dari perusahaan yang terkenal baik, dan dokumen yang berisi prosedur berbahaya diunduh selama proses wawancara, dimana penyerang diperoleh otoritas sistem internal dan akhirnya mencuri $625 juta。
Pada tahun 2023, insiden CoinsPaid hampir identik. CoinsPaid, layanan yang menangani pembayaran uang terenkripsi, juga mendekati karyawannya melalui proses perekrutan palsu untuk menginstruksikan mereka untuk menginstal perangkat lunak berbahaya dan memasuki sistem. Metode hacker terbaru lebih beragam: panggilan video palsu, akun sosial invasif, dan program berbahaya menyamar sebagai perangkat lunak pertemuan。
Korban menerima link konferensi Calleus yang tampaknya normal, diklik dan mengarah ke instalasi aplikasi konferensi palsu melalui perangkat lunak berbahaya mencuri dompet, password, kata-kata bantu dan catatan korespondensi. Diperkirakan bahwa, dengan demikian saja, kelompok hacker Korea telah mencuri lebih dari $300 juta。
Pada saat yang sama, keberadaan terakhir dari dana curian adalah perhatian. Steven menyatakan bahwa dana curian akhirnya mengalir di bawah kendali Pemerintah Korea. Money- pencucian dilakukan oleh tim khusus dalam organisasi, yang membuka mata uang mereka sendiri campuran dan rekening terbuka di bawah identitas palsu pada banyak pertukaran, dengan set lengkap dan kompleks proses: Dana tersebut dicuci dan diubah menjadi mata uang swasta pada saat pertama kali mereka dicuri, diikuti oleh transfer lintas rantai melalui proyek DeFi yang berbeda, yang mengalir berulang kali antara pertukaran dan DeFi。
"SELURUH PROSES INI SELESAI DALAM WAKTU SEKITAR 30 HARI, DAN DANA TERSEBUT AKHIRNYA DILEPASKAN KE TANGAN KASINO ASIA TENGGARA, PERTUKARAN KECIL YANG TIDAK MEMERLUKAN KYC, DAN PENYEDIA JASA DI LUAR SITUS (OTC) DI HONG KONG, CINA DAN ASIA TENGGARA"
Bagaimana, jika industri enkripsi menanggapi model ancaman baru ini, yang bukan hanya penyerang tapi peserta
Steven percaya bahwa manajer proyek dana skala besar harus mempekerjakan tim keamanan profesional dengan posisi keamanan berdedikasi dalam tim dan bahwa semua anggota inti harus benar-benar mengamati disiplin keamanan. Hal ini terutama penting bahwa peralatan untuk pengembangan peralatan dan peralatan untuk tanda tangan keuangan ketat terisolasi secara fisik. Secara khusus, ia mencatat bahwa masalah kunci dalam kasus Drift adalah mekanisme penyangga, yang telah dihapus kunci waktu, "ini tidak dapat diangkat setiap saat"
Namun, ia juga menyatakan bahwa akan sulit untuk mengidentifikasi DPRK 's intelijen layanan sepenuhnya jika mereka adalah untuk melakukannya secara mendalam. Tapi pengenalan tim keamanan tetap penting. Dia menyarankan bahwa partai proyek memperkenalkan tim biru (yaitu, tim bertahan dalam serangan cyber) yang tidak hanya akan membantu meningkatkan keamanan peralatan dan perilaku, tetapi juga akan terus memantau node kunci dan, dalam hal fluktuasi yang tidak biasa, akan mendeteksi dan menanggapi serangan di tempat pertama. "Kapasitas keamanan proyek sendiri tidak cukup untuk menahan tingkat serangan seperti itu"
Dia menambahkan bahwa kemampuan perang dunia maya Korea Utara saat ini adalah lima besar di dunia, setelah Amerika Serikat, Rusia, Cina dan Israel. Dihadapkan dengan saingan pada tingkat ini, kode audit sendiri jauh dari cukup。
Menggabungkan komentar
Insiden Drift membuktikan bahwa hari ini DeFi menghadapi tidak hanya ancaman yang paling serius, tetapi juga mobilitas, dan bahwa tidak hanya aman untuk menjaga terhadap celah kode, karena mata-mata mungkin bersembunyi di sekitar。
Ketika para penyerang bersedia menghabiskan enam bulan dan jutaan dolar pada suatu hubungan, audit kode tradisional dan garis keamanan hanya tidak memadai. Menurut survei yang ada, teknik ini kemungkinan telah beroperasi selama bertahun-tahun dalam beberapa proyek, meskipun belum ditemukan。
Kemampuan DeFi 's untuk tetap didesentralisasi dan terbuka tidak lagi sentral, tetapi pertanyaan sebenarnya adalah apakah dapat tetap terbuka sementara menolak infiltrasi dari saingan berpaket rapi。
