$285 млн. кражба чрез доверие. Drift атаката показва реалния вход
Кражба на крипто активи за $285 милиона, засегнала Drift, е резултат от продължителна социално-инженерна операция.
Атаката, извършена на 1 април 2026 г., не е резултат от единичен exploit.
Тя е резултат от изграждане на достъп във времето.
Как започва операцията
Според Drift, атаката се развива в рамките на около шест месеца.
Свързана е с DPRK-асоцииран threat actor, известен като UNC4736, част от по-широка група, насочена към крипто сектора.
Как се изгражда достъпът
Операцията започва през есента на 2025 г.
Атакуващите се представят за trading компания и установяват контакт с членове на екипа на Drift.
В рамките на месеци:
- изграждат доверие
- водят технически разговори
- създават комуникационни канали
- дори инвестират средства
Така създават реално присъствие в екосистемата.
Потенциални входни точки
Разследването посочва два основни сценария:
- компрометиран code repository
- зловредно wallet приложение
В единия случай е използван VS Code проект с автоматично изпълнение на код при отваряне.
Какво следва след достъпа
След компромиса:
- атакуващите се придвижват вътрешно
- достъпват системи и ресурси
- подготвят изтегляне на средства
Финалният етап е прехвърляне на средства към контролирани адреси.
Атаката следва познат модел на развитие, но с различна начална точка.
Вместо техническа уязвимост, достъпът е изграден чрез месеци на доверие и взаимодействие.
Защо това е важно
Тази атака показва промяна.
Входът не е уязвимост, а доверие.
Три извода:
1. Социалното инженерство е дългосрочно
Не е еднократна атака.
2. Developer средите са критична точка
Инструментите и кодът са вход.
3. Идентичността е основната повърхност
Достъпът се изгражда, не се пробива.
Перспективата на DIAMATIX
Това е различен тип атака, която започва с взаимоотношения.
Докато се появи зловредният код, системата вече го приема.
Това създава ново предизвикателство.
Действията изглеждат легитимни.
Контролите трудно ги засичат.
Необходимият подход:
- контрол върху външни взаимодействия
- проверка на код и инструменти, дори от доверени източници
- наблюдение на developer среди
- разбиране, че trust е част от attack surface
Пробивът не започва с кода.
Той започва с доверието.
Източници
Drift. Официален анализ на инцидента (април 2026 г.)
CrowdStrike. Проследяване на заплахи (Golden Chollima)
DomainTools. Анализ на DPRK malware екосистема
Chainalysis. Анализ на криптовалутни транзакции и атрибуция
Статията е базирана на публично достъпни разследвания и данни от threat intelligence към април 2026 г.
Получавайте актуални новини и експертни анализи за киберсигурност
