Hacker đứng sau vụ hack của Drift có liên hệ với Triều Tiên

Drift Protocol vừa công bố kết quả điều tra sơ bộ về vụ tấn công gây thiệt hại hơn 285 triệu USD, tiết lộ một chiến dịch xâm nhập được lên kế hoạch tỉ mỉ trong suốt 6 tháng bởi một nhóm được cho là có liên hệ với chính phủ Triều Tiên.

Cryptohack 1

Dấu tay của nhóm hacker Triều Tiên

Theo điều tra, vụ tấn công Drift có cùng dấu hiệu nhận dạng với vụ hack Radiant Capital vào tháng 10/2024 từ luồng tiền on-chain đến phương thức thực thi đều khớp với nhau ở mức độ cao. Công ty an ninh mạng Mandiant trước đó đã quy vụ tấn công Radiant Capital cho nhóm UNC4736, một tổ chức được xác định có liên hệ trực tiếp với bộ máy nhà nước Triều Tiên.

Điều khiến vụ tấn công này đặc biệt nguy hiểm không chỉ là quy mô thiệt hại, mà là mức độ tinh vi trong quá trình chuẩn bị. Từ mùa thu năm 2025, một nhóm người bắt đầu tiếp cận các cộng tác viên của Drift tại nhiều hội nghị Crypto quốc tế, tự giới thiệu là đại diện của một công ty giao dịch định lượng (quant trading firm).

Sau khi thiết lập liên lạc ban đầu, các đối tượng này mời nạn nhân vào nhóm Telegram và duy trì trao đổi chuyên sâu về chiến lược giao dịch, nghiệp vụ tài chính trong suốt nửa năm. Để tạo độ tin cậy, nhóm này còn triển khai một Ecosystem Vault với 1 triệu USD vốn thực trên nền tảng Drift – một khoản đầu tư thực tế nhằm củng cố vỏ bọc hợp pháp.

Sau nhiều cuộc gặp mặt trực tiếp và quá trình xây dựng lòng tin kéo dài, kẻ tấn công bắt đầu chia sẻ các đường link và công cụ độc hại. Nghi can cuối cùng hoàn tất xâm nhập thông qua kho lưu trữ code chứa mã độc và một ứng dụng ví phiên bản thử nghiệm trên TestFlight. Toàn bộ lịch sử chat và phần mềm độc hại liên quan đã bị xóa sạch sau khi vụ tấn công hoàn tất.

Phản ứng và các bước xử lý

Trong khi điều tra vẫn đang tiếp tục và các phát hiện hiện tại còn là kết quả sơ bộ, Drift đã triển khai một loạt biện pháp khẩn cấp: đóng băng toàn bộ chức năng giao thức còn lại, loại bỏ các ví bị xâm phạm khỏi cơ chế multisig, đồng thời đánh dấu (flag) các ví của kẻ tấn công với các sàn giao dịch và nhà vận hành cầu nối chuỗi (cross-chain bridge operators) để ngăn chặn tiếp tục rút tiền.

Vụ tấn công Drift là minh chứng cho một xu hướng đáng lo ngại trong các chiến dịch của hacker nhà nước: không còn dựa vào khai thác lỗ hổng kỹ thuật thuần túy, mà kết hợp kỹ thuật xã hội (social engineering) ở quy mô và độ kiên nhẫn chưa từng thấy. Khi ranh giới giữa đối tác hợp pháp và mối đe dọa tiềm ẩn ngày càng mờ nhạt, đây là lời cảnh báo đến toàn bộ hệ sinh thái DeFi về sự cần thiết của các quy trình thẩm định đối tác nghiêm ngặt hơn.

Tin tức Coin#Hacker #đứng #sau #vụ #hack #của #Drift #có #liên #hệ #với #Triều #Tiên1775370347