Kartu Maksimum Pembangunan DeFi
Oleh Chloe, Challenger
Minggu lalu, Solana Loan Agreement Drift diretas dan sekitar $285 juta aset pengguna dicuri. Menurut catatan resmi, ini bukan serangan pelanggaran kontrak pintar biasa, tapi serangan rekayasa sosial enam bulan dan direncanakan dengan baik oleh peretas negara。
Bahkan ada bukti investigasi bahwa jumlah aktor ancaman yang sama mungkin sudah berada di inti pengembangan perjanjian DeFi multiple, bukan sebagai penyerang, tetapi sebagai kontributor。
Target hacking awal adalah umum di Korea Utara, tetapi sangat sedikit uang tunai yang diinvestasikan
Menurut pernyataan insiden Drift, strategi inti para penyerang adalah \"untuk menjadi bagian dari ekosistem\"。
Sejak musim gugur 2025, mereka menyamar sebagai perusahaan perdagangan kuantitatif dan mulai menghubungi kontributor inti Drift ' s di pertemuan industri enkripsi utama. Kontak jenis ini tidak terbatas pada satu, tetapi sejumlah pertemuan di berbagai negara, yang terus beroperasi dengan sengaja selama enam bulan. Orang-orang ini memiliki keahlian teknis, latar belakang, dan tahu bagaimana Drift bekerja。
Dan mereka tidak hanya berkomunikasi dengan anggota inti Drift. Tim ini juga membuat penggunaan Open Mechanism of the Drift Eco-Stem Vault untuk berhasil membangun perbendaharaan sendiri sebagai perusahaan perdagangan yang sah, menyetor lebih dari $1 juta dananya sendiri dan berpartisipasi dalam sejumlah sesi kerja untuk meningkatkan isu produk dalam kedalaman, dengan demikian mengkonsolidasikan kepercayaan dengan mitra proyek。
Dalam sebuah wawancara dengan ChainCatcher, Steven, seorang pakar teknis dalam rantai blok, mengatakan, ” Kebiasaan umum bagi peretas Korea untuk menyusupi target dari tahap awal, tetapi jarang sekali bahwa sejumlah besar uang diinvestasikan sebagai dasar kepercayaan. Akan tetapi, bagi para penyerang, senilai $1 juta sebenarnya adalah investasi bebas risiko, yang, selama serangan tidak diluncurkan, hanya merupakan dana reguler dalam lemari besi yang dapat diambil kapan saja; dan sebenarnya direkrut personil pihak ketiga yang tidak terdaftar yang memiliki sedikit kerugian keuangan kepada organisasi itu sendiri.\"
Selain itu, dalam kolaborasinya yang sudah lama berdiri dengan Drift, tim berbagi barang-barang kode yang disimpan pada GitHub, serta aplikasi, atas dasar mendemonstrasikan alat-alat pengembangannya sendiri. Dengan keadaan saat itu, akan menjadi normal untuk melihat satu sama lain ' s buku kode di antara mitra. Namun, penyelidikan lanjutan oleh Drift menemukan bahwa proyek kode GitHub, yang disalin oleh satu kontributor, berisi kode berbahaya, sementara yang lain diinduksi untuk mengunduh aplikasi TestFlight yang menyamar sebagai produk dompet。
Jalur proyek kode code code sulit untuk dijaga karena sepenuhnya tertanam dalam alur kerja harian pengembang. Para pengembangnya hampir selalu menggunakan editor kode seperti VSCode atau Cursor untuk menganggapnya sebagai Word insinyur, yang dibuka setiap hari。
Komunitas penelitian keamanan menemukan celah serius dalam jenis editor di akhir 2025: Ketika pengembang menggunakannya untuk membuka item kode yang orang lain bagikan, instruksi jahat tersembunyi dalam proyek secara otomatis dieksekusi di belakang panggung, proses sepenuhnya tersembunyi dan tidak ada jendela konfirmasi yang akan muncul di layar, tidak ada izin untuk klik dan tidak ada peringatan. Para pengembangnya mengira mereka hanya melihat kodenya, tapi komputernya ditanamkan di pintu belakang. Ini adalah dengan memanfaatkan celah ini bahwa para penyerang menyembunyikan perangkat lunak jahat mereka ke dalam operasi harian yang dilakukan pengembang setiap hari。
Sampai 1 April, ketika serangan Drift terjadi, catatan obrolan Telegram tim dan semua jejak perangkat lunak jahat benar-benar dibersihkan, meninggalkan celah $ 285 juta。
Drift, mungkin hanya ujung gunung es
Menurut SEAL 911, organisasi respon keamanan darurat industri enkripsi, serangan tersebut dilakukan pada Oktober 2024 oleh kelompok ancaman yang sama dengan peretas Radiant Capital. Body Linkage didasarkan pada alur rantai dana (funds untuk persiapan dan pengujian operasi ini dapat ditelusuri kembali ke penyerang Radiant) dan pola operasi (orang yang dikerahkan dalam operasi ini telah mengidentifikasi tumpang tindih dengan kegiatan terkait DPRK yang diketahui). Kenalof Mandiant (sekarang di bawah Google), sebuah perusahaan forensik keamanan terkenal yang disewa oleh Drift, sebelumnya telah mengaitkan insiden Radiant dengan organisasi negara-negara Korea UNC 4736, Mandiant belum secara formal mengaitkan insiden Drift, dan bukti peralatan lengkap masih berlangsung。
Khususnya, individu yang muncul di pertemuan itu bukanlah warga negara Korea. Vechain Steven menyatakan bahwa \"penggodam Korea Utara tidak boleh dipandang sebagai hacker biasa, tetapi lebih sebagai badan intelijen, sebuah organisasi besar dengan ribuan orang dan pembagian kerja yang jelas, di mana peretas Korea Lazarus memiliki nama resmi APT38 di bidang keamanan internasional, dan Kimsukiy, organisasi lain yang berafiliasi dari Korea, memiliki nama APT43”
Ini menjelaskan mengapa mereka dapat menyebarkan orang-orang nyata online. Mereka membuka perusahaan di luar negeri dengan berbagai nama dan merekrut personel lokal yang bahkan tidak tahu mereka bekerja untuk siapa. Dia mungkin berpikir bahwa ia telah bergabung dengan sebuah perusahaan teleworking yang normal dan ditugaskan setahun kemudian untuk bertemu dengan klien, semuanya tampak normal, tetapi di belakangnya adalah organisasi peretas. Pada saat pengadilan datang, orang itu tidak tahu apa-apa."
Hari ini, Drift mungkin hanya ujung gunung es。
Jika insiden Drift mengungkapkan pelanggaran perjanjian tunggal, penyelidikan berikutnya menunjuk pada masalah yang lebih besar: metode yang sama, yang mungkin telah beroperasi sepanjang ekologi DeFi selama bertahun-tahun。
Menurut sebuah survei oleh peneliti rantai blok, Tayvano, sejak ekspansi DeFi yang pesat pada tahun 2020, kontribusi kode yang terkait dengan pekerja IT Korea Utara telah menyebar ke sejumlah proyek terkenal, termasuk SushiSwap, Thorchain, Harmony, Ankr dan Yirn Finance。
Metode yang sama digunakan dalam peristiwa Drift: penggunaan identitas palsu, akuisisi peran pengembangan melalui platform free-flowing dan kontak langsung, akses ke saluran Discord, komunitas pengembangan dan bahkan partisipasi dalam komunitas pengembangan. Setelah di dalam proyek, mereka menyumbang kode, berpartisipasi dalam siklus pembangunan, dan membangun kepercayaan dengan tim sampai seluruh kerangka perjanjian dipetakan dan dipindahkan。
Dan bahkan generasi berikutnya, untuk melanjutkan tugas generasi sebelumnya. Sifat jangka waktu pendek dan tinggi dari proyek Web3 untuk mereka, dan fakta bahwa sifat teleworking memungkinkan seseorang untuk memiliki beberapa pekerjaan dalam beberapa proyek sekaligus, sebenarnya umum dalam industri Web3 dan tidak menimbulkan kecurigaan apapun。
” Para peretas Korea Utara akan memasukkan semua proyek Web3 dalam lingkup serangan, dengan cermat memeriksa setiap proyek dan mengumpulkan informasi tentang anggota tim. Mereka tahu lebih banyak tentang proyek daripada partai proyek itu sendiri. \" Kata Steven. Web3 adalah target utama karena tingginya tingkat pendanaan ekologi, kurangnya regulasi terintegrasi global, kurangnya validasi yang meluas dari identitas sebenarnya mitra dan karyawan karena teleworking, dikombinasikan dengan pemuda yang meluas dari praktisi dan pengalaman sosial yang tidak mencukupi, yang menyediakan lingkungan penetrasi ideal untuk badan intelijen Korea Utara。
Para hacker sering, dan proyektor menunggu untuk mati
Melihat kembali peristiwa besar beberapa tahun belakangan ini, rekayasa sosial selalu menjadi alat inti dari kelompok peretas Korea. Ia bertepatan dengan peluncuran memoar CZ Yayasan koin-Ann Jepang yang baru-baru ini berjudul CZ "Bian's Life" yang mengenang pencurian 700 bitcoin pada Mei 2019. Menurut CZ, para peretas pertama kali menyerbu laptop beberapa karyawan melalui virus canggih, kemudian menanamkan sebuah instruksi jahat dalam langkah terakhir proses transfer koin, mencuri semua 700 bitcoin dari hot wallet pada pukul 1 pagi (dengan nilai sekitar US $ 40 juta pada saat itu). Ia menulis bahwa, dalam hal metode penyerangan, para hacker telah bersembunyi di jaring selama beberapa waktu, dengan kecurigaan tinggi bahwa itu adalah Lazarus Korea Utara, dan bahkan mungkin menyuap karyawan internal。
Salah satu kasus klasik yang dialami oleh Jaringan Ronin tahun 2022. Axie Infinity, yang menangani transfer rantai silang semua aset dalam permainan, pada saat lock-in besar. Serangan itu disebabkan oleh undangan yang diterima oleh seorang pengembang untuk pos yang sangat dibayar yang tampaknya berasal dari perusahaan terkenal, dan sebuah dokumen yang berisi prosedur jahat diunduh selama proses wawancara, di mana oleh penyerang mendapatkan otoritas sistem internal dan akhirnya mencuri $625 juta。
Pada tahun 2023, insiden CoinsPaid hampir sama. CoinsPaid, sebuah layanan yang menangani pembayaran uang terenkripsi, juga mendekati karyawannya melalui proses perekrutan palsu untuk menginduksi mereka untuk memasang perangkat lunak jahat dan memasuki sistem. Metode peretasan yang lebih terkini lebih beragam: panggilan video palsu, akun sosial invasif, dan program jahat yang menyamar sebagai perangkat lunak pertemuan。
Korban korban korban yang tampaknya normal menerima link konferensi Calendly, diklik dan mengarah ke pemasangan aplikasi konferensi palsu melalui mana perangkat lunak jahat mencuri dompet, kata sandi, kata bantu dan catatan korespondensi. Diperkirakan bahwa, dengan cara seperti itu saja, kelompok peretas Korea telah mencuri lebih dari $ 300 juta。
Pada saat yang sama, keberadaan terakhir dana curian adalah kekhawatiran. Wala Steven menyatakan bahwa dana yang dicuri akhirnya mengalir di bawah kendali Pemerintah Korea. Pencucian uang dilakukan oleh tim khusus dalam organisasi, yang membuka mixer mata uang mereka sendiri dan membuka rekening di bawah identitas palsu pada banyak pertukaran, dengan set proses yang lengkap dan kompleks: Dana tersebut dicuci dan diubah menjadi mata uang swasta pada pertama kalinya mereka dicuri, diikuti dengan transfer cross-chain melalui proyek DeFi yang berbeda, yang mengalir berulang kali antara pertukaran dan DeFi。
\"SEMUA PROSES SELESAI DALAM WAKTU SEKITAR 30 HARI, DAN DANA AKHIRNYA DILEPASKAN KE TANGAN KASINO ASIA TENGGARA, PERTUKARAN KECIL YANG TIDAK MEMBUTUHKAN KYC, DAN PENYEDIA LAYANAN OFF-SITE TRADING (OTC) DI HONG KONG, TIONGKOK DAN ASIA TENGGARA.\"
Jadi, bagaimana seharusnya industri enkripsi menanggapi model ancaman baru ini, yang bukan hanya penyerang melainkan peserta
Steven percaya bahwa manajer proyek dana skala besar harus menyewa tim keamanan profesional dengan posisi keamanan yang didedikasikan di dalam tim dan bahwa semua anggota inti harus dengan ketat mengamati disiplin keamanan. Khususnya penting agar peralatan untuk pengembangan peralatan dan peralatan untuk tanda tangan keuangan terisolasi secara fisik. Khususnya, ia mencatat bahwa masalah penting dalam kasus Drift adalah mekanisme penyangga, yang telah menghapus kunci waktu, \"ini tidak dapat diangkat kapan saja\"
Namun, ia juga menyatakan bahwa akan sulit untuk mengidentifikasi Dinas Intelijen DPRK ' s sepenuhnya jika mereka melakukannya dalam kedalaman. Tapi pengenalan tim keamanan tetap penting. Ia menyarankan agar pihak proyek memperkenalkan tim biru (yaitu tim bertahan dalam serangan cyber) yang tidak hanya akan membantu meningkatkan keamanan peralatan dan perilaku, tetapi juga akan terus menerus memantau node kunci dan, dalam hal fluktuasi yang tidak biasa, akan mendeteksi dan merespon serangan di tempat pertama. \"Kemampuan keamanan proyek sendiri sendiri tidak cukup untuk menahan tingkat serangan seperti itu.\"
Dia menambahkan bahwa Amerika Serikat, Rusia, Cina dan Israel. Dihadapkan dengan saingan di tingkat ini, audit kode saja jauh dari cukup。
Kata-kata palsu
Insiden Hanyrif membuktikan bahwa saat ini DeFi tidak hanya menghadapi ancaman yang paling serius, tetapi juga mobilitas, dan bahwa tidak hanya aman untuk berjaga-jaga terhadap celah kode, karena mata-mata mungkin bersembunyi。
Ketika para penyerang bersedia menghabiskan enam bulan dan jutaan dolar untuk sebuah hubungan, kode tradisional audit dan garis keamanan hanya tidak memadai. Menurut survei yang ada, teknik ini kemungkinan besar telah beroperasi selama bertahun-tahun dalam beberapa proyek, meskipun belum ditemukan。
Kemampuan DeFi ' s untuk tetap terdesentralisasi dan terbuka tidak lagi terpusat, tetapi pertanyaan sebenarnya adalah apakah itu dapat tetap terbuka sementara menolak infiltrasi saingan paket mengikat。
