Drift Protocol: Bắt đầu xây dựng kế hoạch phục hồi, tham gia chương trình bảo mật STRIDE

Drift Protocol vào ngày 8 tháng 4 đã đăng tải cập nhật diễn biến mới nhất trên nền tảng X, cho biết hiện đang tích cực phối hợp với các đối tác để xây dựng một kế hoạch phục hồi được thống nhất và đồng thuận; giai đoạn hiện tại tập trung vào việc ổn định tình hình, đồng thời cung cấp sự đảm bảo ở cấp độ giao thức cho tất cả người dùng và đối tác bị ảnh hưởng. Ngoài ra, Drift Protocol cũng công bố sẽ tham gia chương trình an ninh STRIDE thuộc hệ thống chương trình của Solana Foundation; sau đó sẽ công bố thêm chi tiết.

Tình hình kế hoạch phục hồi: ổn định tình hình là nhiệm vụ ưu tiên hàng đầu

Drift Protocol nhấn mạnh rằng việc xây dựng kế hoạch phục hồi liên quan đến sự phối hợp đa bên giữa các đối tác, người dùng bị ảnh hưởng và các bên hợp tác trong hệ sinh thái; hiện tại ưu tiên là “ổn định tình hình”, đảm bảo người dùng bị ảnh hưởng nhận được sự đảm bảo ở cấp độ giao thức, đồng thời nghiên cứu các phương án bù đắp và khôi phục tiếp theo.

Tham gia chương trình STRIDE là một thành phần quan trọng trong lộ trình tăng cường an ninh của Drift Protocol. STRIDE do Asymmetric Research dẫn dắt, được Solana Foundation tài trợ, cung cấp đánh giá an ninh độc lập, giám sát chủ động các mối đe dọa 24/7 (đối với các giao thức có TVL trên 1,000 vạn USD), và dịch vụ xác minh chính thức (đối với các giao thức có TVL trên 1 vạn USD).

Phân tích lại cuộc tấn công: chi tiết sáu tháng thâm nhập thông tin

Cuộc tấn công lần này không phải là khai thác lỗ hổng kỹ thuật truyền thống, mà là một chiến dịch kết hợp giữa kỹ thuật xã hội và xâm nhập công nghệ. Kẻ tấn công giả dạng là “công ty giao dịch định lượng quan tâm đến việc tích hợp”; vào mùa thu năm ngoái, tại một hội nghị ngành lớn, họ chủ động tiếp cận các nhân sự mục tiêu, sau đó từng bước xây dựng lòng tin thông qua các buổi gặp trực tiếp và trao đổi trên Telegram. Trước khi triển khai cuộc tấn công, bên tấn công thậm chí đã gửi 1 triệu USD vốn tự có vào kho tiền của nền tảng để tăng mức độ đáng tin; ngay sau khi hoàn tất hành động, chúng lập tức biến mất.

Dấu vết kỹ thuật của phương thức tấn công

Cài cắm thư viện mã độc: Thông qua tuyến đường chuỗi cung ứng nhúng mã độc vào môi trường phát triển, đạt hiệu quả thực thi âm thầm

Giả mạo ứng dụng: Dùng các công cụ có vẻ hợp pháp để dụ người đóng góp tải xuống và thực thi quy trình độc hại

Khai thác lỗ hổng công cụ phát triển: Nhắm vào các điểm yếu trong quy trình phát triển để đạt hiệu quả thực thi mã âm thầm

Thâm nhập bằng kỹ thuật xã hội: Sử dụng bên trung gian bên thứ ba để thực hiện các buổi gặp trực tiếp, né tránh rủi ro nhận diện trực tiếp rủi ro liên quan đến quốc tịch

Drift Protocol cho biết những người tham gia tiếp xúc trực tiếp không phải là công dân Triều Tiên; các tác nhân mang nền tảng quốc gia như vậy thường thực hiện nhiệm vụ thâm nhập tại hiện trường thông qua bên trung gian thứ ba.

Quy kết theo AppleJeus: dấu vết tấn công số của tổ chức tình báo Bắc Triều Tiên

Drift Protocol quy kết cuộc tấn công lần này cho tổ chức đe dọa AppleJeus (còn gọi là Citrine Sleet) với độ tin cậy trung bình-cao. Công ty an ninh mạng Mandiant trước đó đã liên hệ tổ chức này với cuộc tấn công mạng năm 2024 nhắm vào Radiant Capital. Người phụ trách phản hồi sự cố cho biết, các mẫu trùng khớp về phân tích trên chuỗi và nhận dạng đều cho thấy sự tham gia của các cá nhân liên quan đến Triều Tiên, nhưng Mandiant hiện vẫn chưa chính thức xác nhận quy kết này.

Một giám đốc phụ trách chiến lược của một công ty bảo mật blockchain cho biết, các đối thủ mà nhóm tiền mã hóa hiện phải đối mặt giống hơn với “các cơ quan tình báo” chứ không phải hacker truyền thống; và sự kiện lần này nêu bật vấn đề an ninh cốt lõi, không phải là số lượng người ký giao dịch, mà là “thiếu sự hiểu biết căn bản về ý định giao dịch”, dẫn đến việc người ký bị lừa để chấp thuận các thao tác độc hại.

Cảnh báo ngành: hệ sinh thái DeFi có thể đã bị thâm nhập rộng rãi

Một chuyên gia nghiên cứu an ninh tham gia cuộc điều tra cho biết, hệ sinh thái DeFi có thể đã bị thâm nhập rộng rãi bởi những tác nhân như vậy, đồng thời suy đoán rằng các tổ chức liên quan đã tham gia tác động đến nhiều giao thức trong thời gian dài. Lời khẳng định này cho thấy cuộc tấn công của Drift Protocol có thể không phải là một sự kiện đơn lẻ, mà là một phần của hoạt động thâm nhập bền bỉ quy mô lớn hơn; toàn bộ cấu trúc phòng thủ an ninh của hệ sinh thái tài chính phi tập trung đang đứng trước áp lực phải suy ngẫm mang tính căn bản.

Câu hỏi thường gặp

Tiến độ kế hoạch phục hồi vụ trộm 2.85 ức USD của Drift Protocol như thế nào?

Drift Protocol cho biết hiện đang tích cực phối hợp với các đối tác để xây dựng kế hoạch phục hồi được thống nhất; giai đoạn hiện tại tập trung vào ổn định tình hình và cung cấp sự đảm bảo ở cấp độ giao thức cho tất cả người dùng cũng như đối tác bị ảnh hưởng, đồng thời công bố sẽ tham gia chương trình an ninh STRIDE thuộc Solana Foundation; các chi tiết sau đó sẽ được công bố riêng.

Drift Protocol đã bị tấn công như thế nào?

Kẻ tấn công giả dạng là công ty giao dịch định lượng; trong suốt sáu tháng, thông qua các buổi gặp trực tiếp và thâm nhập bằng kỹ thuật xã hội, chúng thiết lập lòng tin; đồng thời trước đó đã nạp sẵn 1 triệu USD tiền thật để tăng độ đáng tin. Cuối cùng, chúng thực thi mã độc một cách âm thầm thông qua thư viện mã độc, ứng dụng giả mạo và khai thác lỗ hổng của công cụ phát triển, chiếm đoạt khoảng 2.85 ức USD.

Mối liên hệ của cuộc tấn công này với tổ chức tình báo Bắc Triều Tiên đã được xác nhận chưa?

Drift Protocol quy kết cuộc tấn công cho tổ chức đe dọa AppleJeus với độ tin cậy trung bình-cao; các mẫu phân tích trên chuỗi và trùng khớp nhận dạng cho thấy sự tham gia của những cá nhân liên quan đến Bắc Triều Tiên. Tuy nhiên, công ty an ninh mạng Mandiant hiện vẫn chưa chính thức xác nhận quy kết này.