Drift Protocol a publié le 8 avril sur la plateforme X les dernières avancées concernant l’événement, indiquant qu’actuellement il élabore activement, avec ses partenaires, un plan de reprise visant à parvenir à une coordination et à un consensus. À ce stade, l’accent du travail est mis sur la stabilisation de la situation, tout en offrant des garanties de niveau contractuel à l’ensemble des utilisateurs et partenaires concernés. En outre, Drift Protocol annonce qu’il participera au programme de sécurité STRIDE, relevant du programme de sécurité de la Fondation Solana, et que de plus amples détails seront publiés ultérieurement.
Situation actuelle du plan de reprise : stabiliser la situation, priorité absolue
Drift Protocol souligne que l’élaboration du plan de reprise implique une coordination multilatérale entre les partenaires, les utilisateurs concernés et les acteurs de collaboration au sein de l’écosystème. À l’heure actuelle, la priorité est de « stabiliser la situation », afin de garantir que les utilisateurs concernés disposent de protections au niveau contractuel, et d’étudier des scénarios de compensation et de restauration ultérieurs.
Participer au programme STRIDE fait partie intégrante de la feuille de route d’amélioration de la sécurité de Drift Protocol. STRIDE est piloté par Asymmetric Research et financé par la Fondation Solana. Il offre des évaluations de sécurité indépendantes, une surveillance proactive des menaces 24h/24 et 7j/7 (pour les contrats dont la TVL dépasse 10M USD), ainsi que des services de vérification formelle (pour les contrats dont la TVL dépasse 100M USD).
Reconstitution de l’attaque : détails d’opérations d’infiltration de renseignements sur six mois
Cette attaque n’est pas une exploitation de faille technique traditionnelle, mais une opération hybride combinant ingénierie sociale et intrusion technique. Les attaquants se sont fait passer pour des « sociétés de trading quantitatif intéressées par l’intégration » ; l’année dernière, à l’automne, lors d’une grande conférence sectorielle, ils ont pris l’initiative de contacter les personnes ciblées, puis ont progressivement bâti la confiance via des rencontres en présentiel et des échanges sur Telegram. Avant de passer à l’exécution, les attaquants ont même déposé 1M USD de fonds propres dans le coffre-fort de la plateforme afin de renforcer la crédibilité ; une fois l’opération terminée, ils ont immédiatement disparu.
Parcours technique des méthodes d’attaque
Injection d’une bibliothèque de codes malveillants : intégration de codes malveillants dans l’environnement de développement via le chemin de la chaîne d’approvisionnement, pour obtenir une exécution silencieuse
Falsification d’application : inciter les contributeurs à télécharger et exécuter des procédures malveillantes au moyen d’un outil au visuel légal
Exploitation de vulnérabilités d’outils de développement : exploiter les maillons faibles du processus de développement afin d’obtenir un effet d’exécution de code silencieux
Infiltration par ingénierie sociale : utiliser un intermédiaire tiers pour mener les rencontres en présentiel, afin de contourner les risques directs liés à l’identification de la nationalité
Drift Protocol indique que les personnes impliquées dans les contacts en présentiel ne sont pas des citoyens nord-coréens. En général, des acteurs ayant un tel arrière-plan étatique exécutent ce type de mission d’infiltration sur place via des intermédiaires tiers.
Attribution AppleJeus : traces d’attaques numériques d’organisations de renseignement nord-coréennes
Drift Protocol attribue cette attaque avec une certitude moyenne à élevée à l’organisation de menace AppleJeus (également connue sous le nom de Citrine Sleet). La société de cybersécurité Mandiant avait auparavant associé cette organisation aux attaques de pirates informatiques menées en 2024 contre Radiant Capital. Les équipes de réponse à l’incident indiquent que l’analyse on-chain et les schémas de chevauchement d’identité pointent vers la participation de personnes liées à la Corée du Nord. Toutefois, Mandiant n’a pas encore confirmé officiellement cette attribution.
Un responsable stratégie d’une société de sécurité blockchain a déclaré que, pour les équipes de cryptomonnaies, les adversaires ressemblent davantage à des « organismes de renseignement » qu’à des pirates informatiques traditionnels. Et, dans cet événement, le problème de sécurité central mis en évidence ne tient pas au nombre de signataires de transactions, mais au « manque de compréhension fondamentale des intentions de transaction », ce qui conduit les signataires à être trompés pour approuver des opérations malveillantes.
Alerte sectorielle : l’écosystème DeFi pourrait déjà être largement infiltré
Un chercheur en sécurité participant à cette enquête a déclaré que l’écosystème DeFi pourrait déjà avoir été largement infiltré par des acteurs de ce type, et a supposé que ces organisations participent à l’influence de plusieurs protocoles depuis longtemps. Cette affirmation signifie que l’attaque de Drift Protocol n’est peut-être pas un événement isolé, mais fait partie d’un volet d’infiltration continu à plus grande échelle. L’ensemble de l’architecture de défense en sécurité de la finance décentralisée fait face à une pression de réflexion fondamentale.
Questions fréquentes
Quels progrès du plan de reprise pour le vol de 285 M $ par Drift Protocol ?
Drift Protocol indique qu’il élabore activement, avec ses partenaires, un plan de reprise visant à parvenir à une coordination et à un consensus. À ce stade, l’accent est mis sur la stabilisation de la situation et la fourniture de garanties de niveau contractuel à l’ensemble des utilisateurs et partenaires concernés. Il annonce également qu’il participera au programme de sécurité STRIDE de la Fondation Solana ; de plus amples détails seront publiés ultérieurement.
Comment Drift Protocol a-t-il été attaqué ?
Les attaquants se sont fait passer pour des sociétés de trading quantitatif. Pendant six mois, ils ont établi la confiance grâce à des rencontres en présentiel et à l’infiltration par ingénierie sociale. Ils ont aussi, en amont, déposé 1M USD de fonds réels afin d’augmenter la crédibilité. Finalement, ils ont mis en œuvre l’exécution silencieuse de code via une bibliothèque de codes malveillants, des applications falsifiées et l’exploitation de vulnérabilités d’outils de développement, dérobant environ 285 M $.
Le lien entre cette attaque et les organisations de renseignement nord-coréennes est-il confirmé ?
Drift Protocol attribue l’attaque avec une certitude moyenne à élevée à l’organisation de menace AppleJeus. Les schémas d’analyse on-chain et de chevauchement d’identité pointent vers la participation de personnes liées à la Corée du Nord. Toutefois, la société de cybersécurité Mandiant n’a pas encore confirmé officiellement cette attribution.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
