ड्रिफ्ट प्रोटोकॉल के 285 मिलियन डॉलर के हैक की योजना छह महीने से चल रही थी, उत्तर कोरियाई समूह ने इसके लिए दोषारोपण किया।

1 अप्रैल, 2026 शोषण करना of धूपघड़ीड्रिफ्ट प्रोटोकॉल नामक हमले के ज़रिए प्लेटफ़ॉर्म से लगभग 285 मिलियन डॉलर की निकासी हुई, यह कोई अचानक हुआ हमला नहीं था। ड्रिफ्ट के प्रारंभिक विश्लेषण के अनुसार, जांचयह एक सुनियोजित खुफिया अभियान का परिणाम था जो कम से कम छह महीने पहले शुरू हुआ था, और इसे मध्यम-उच्च विश्वास के साथ यूएनसी4736 को सौंपा गया था, जो उत्तर कोरियाई राज्य से संबद्ध एक खतरा समूह है जिसे एप्पलज्यूस या सिट्रिन स्लीट के रूप में भी ट्रैक किया जाता है।

ड्रिफ्ट प्रोटोकॉल हैक की शुरुआत वास्तव में कैसे हुई?

ड्रिफ्ट प्रोटोकॉल टीम के अनुसार, यह अभियान 2025 के पतझड़ में एक प्रमुख क्रिप्टो सम्मेलन में शुरू हुआ, जहाँ एक क्वांटिटेटिव ट्रेडिंग फर्म के रूप में खुद को प्रस्तुत करने वाले व्यक्तियों ने ड्रिफ्ट के योगदानकर्ताओं से संपर्क किया। इसके बाद जो हुआ वह कोई त्वरित फ़िशिंग प्रयास नहीं था। यह एक सुनियोजित, महीनों तक चलने वाला संबंध-निर्माण अभियान था, जिसे कई देशों में, कई उद्योग सम्मेलनों में, कई व्यक्तिगत बैठकों के माध्यम से चलाया गया।

समूह के सदस्य तकनीकी रूप से कुशल थे, उनके पास प्रमाणित पेशेवर पृष्ठभूमि थी, और उन्होंने ड्रिफ्ट के संचालन की विस्तृत जानकारी प्रदर्शित की। पहली बैठक के बाद एक टेलीग्राम समूह बनाया गया, और ट्रेडिंग रणनीतियों और वॉल्ट एकीकरण के बारे में कई महीनों तक गहन चर्चाएँ जारी रहीं। ड्रिफ्ट की टीम ने बताया कि ये बातचीत पूरी तरह से इस बात के अनुरूप थी कि वैध ट्रेडिंग कंपनियाँ आमतौर पर प्रोटोकॉल का उपयोग कैसे करती हैं।

दिसंबर 2025 से जनवरी 2026 तक, समूह ने ड्रिफ्ट पर एक इकोसिस्टम वॉल्ट स्थापित किया। इस प्रक्रिया में एक औपचारिक इनटेक फॉर्म के माध्यम से रणनीति संबंधी विवरण प्रस्तुत करना, ड्रिफ्ट के योगदानकर्ताओं के साथ कई कार्य सत्रों में भाग लेना और अपनी स्वयं की पूंजी से 1 मिलियन डॉलर से अधिक का निवेश करना शामिल था। उन्होंने प्रोटोकॉल के भीतर सुनियोजित और धैर्यपूर्वक एक कार्यशील परिचालन उपस्थिति का निर्माण किया।

अभियान से पहले के अंतिम महीने

एकीकरण संबंधी बातचीत फरवरी और मार्च 2026 तक जारी रही। ड्रिफ्ट के योगदानकर्ताओं ने प्रमुख उद्योग आयोजनों में समूह के सदस्यों से व्यक्तिगत रूप से दोबारा मुलाकात की। अप्रैल आते-आते, संबंध को लगभग छह महीने हो चुके थे। ये लोग अजनबी नहीं थे। ये वे लोग थे जिनके साथ ड्रिफ्ट की टीम ने काम किया था और कई मौकों पर आमने-सामने मुलाकात की थी।

इस पूरी अवधि के दौरान, समूह ने उन परियोजनाओं, उपकरणों और अनुप्रयोगों के लिंक साझा किए, जिन्हें वे विकसित करने का दावा कर रहे थे। इस तरह के संसाधनों को साझा करना व्यापारिक फर्मों के संबंधों में एक सामान्य प्रक्रिया है, और यही कारण था कि यह एक प्रभावी वितरण तंत्र साबित हुआ।

तकनीकी हमले के तरीके क्या थे?

1 अप्रैल को हुए हमले के बाद, ड्रिफ्ट ने प्रभावित उपकरणों, खातों और संचार इतिहास की फोरेंसिक समीक्षा की। हमले के तुरंत बाद समूह द्वारा इस्तेमाल की गई टेलीग्राम चैट और दुर्भावनापूर्ण सॉफ़्टवेयर को पूरी तरह से हटा दिया गया था। ड्रिफ्ट की जांच में घुसपैठ के तीन संभावित तरीके सामने आए:

• समूह द्वारा साझा किए गए एक कोड रिपॉजिटरी को क्लोन करने के बाद एक योगदानकर्ता की सुरक्षा में सेंध लग सकती है, जिसे उनके वॉल्ट के लिए एक फ्रंटएंड परिनियोजन उपकरण के रूप में प्रस्तुत किया गया था।
• एक दूसरे प्रतिभागी को टेस्टफ्लाइट एप्लिकेशन डाउनलोड करने के लिए प्रेरित किया गया, जिसे समूह ने अपना वॉलेट उत्पाद बताया। टेस्टफ्लाइट ऐप्पल का वह प्लेटफॉर्म है जिसके माध्यम से आईओएस ऐप्स के बीटा संस्करणों को सार्वजनिक रूप से जारी करने से पहले वितरित किया जाता है।
• रिपॉजिटरी-आधारित वेक्टर के लिए, संभावित तंत्र VSCode और Cursor कोड संपादकों में एक ज्ञात भेद्यता थी, जिसे सुरक्षा शोधकर्ता दिसंबर 2025 और फरवरी 2026 के बीच सक्रिय रूप से चिह्नित कर रहे थे। प्रभावित संपादक में किसी फ़ाइल, फ़ोल्डर या रिपॉजिटरी को खोलना मनमाने कोड को चुपचाप निष्पादित करने के लिए पर्याप्त था, बिना किसी संकेत, चेतावनी, अनुमति संवाद या उपयोगकर्ता को किसी भी दृश्य संकेत के।

प्रकाशन के समय तक प्रभावित हार्डवेयर का संपूर्ण फोरेंसिक विश्लेषण अभी भी जारी था।

यह हमला कितनी तेजी से अंजाम दिया गया?

सेटअप में भले ही छह महीने लगे हों, लेकिन क्रियान्वयन बहुत तेज़ी से हुआ। प्रोटोकॉल का प्रशासनिक नियंत्रण हासिल होते ही, उपयोगकर्ताओं के असली फंड 12 मिनट से भी कम समय में निकाल लिए गए। ड्रिफ्ट का कुल लॉक्ड मूल्य (TVL) लगभग 550 मिलियन डॉलर से घटकर एक घंटे से भी कम समय में 300 मिलियन डॉलर से भी नीचे आ गया। इस घटना के दौरान ड्रिफ्ट टोकन की कीमत में 40% से अधिक की गिरावट आई। सुरक्षा फर्म पेकशील्ड ने पुष्टि की कि कुल नुकसान 285 मिलियन डॉलर से अधिक था, जो उस समय प्रोटोकॉल के TVL के 50% से अधिक था।

ड्रिफ्ट की टीम ने इस अफरा-तफरी के दौरान X पर पोस्ट करके स्थिति को वास्तविक बताया और लिखा: "यह अप्रैल फूल का मजाक नहीं है। अगली सूचना तक सावधानी बरतें।" जांच शुरू होने के साथ ही सभी जमा और निकासी रोक दी गई।

आशाजनक परियोजनाओं की खोज करें...

आशाजनक परियोजनाएं...

(विज्ञापन)

लेख जारी है...

वो 285 मिलियन डॉलर कहाँ गए?

हमले के बाद हमलावर ने फंड के लेन-देन को छिपाने के लिए तुरंत कार्रवाई की। चुराई गई संपत्तियों को USDC और SOL में परिवर्तित किया गया, फिर Circle के क्रॉस-चेन ट्रांसफर प्रोटोकॉल (CCTP) का उपयोग करके सोलाना से एथेरियम में स्थानांतरित किया गया। CCTP, Circle का मूल ब्रिजिंग इंफ्रास्ट्रक्चर है जो USDC को बिना रैपिंग के विभिन्न ब्लॉकचेन में स्थानांतरित करने की अनुमति देता है। एथेरियम पर, फंड को ETH में परिवर्तित किया गया। ऑन-चेन ट्रैकिंग से पुष्टि हुई कि हमलावर ने अंततः 129,066 ETH जमा किए, जिनकी कीमत उस समय लगभग 273 मिलियन डॉलर थी।

हमलावर ने हाइपरलिक्विड और बाइनेंस दोनों में एसओएल जमा किया, जिससे गतिविधि कई प्लेटफार्मों पर फैल गई और पता लगाने के प्रयासों को जटिल बना दिया।

क्या सर्कल ने समय पर प्रतिक्रिया दी?

ऑन-चेन जांचकर्ता ZachXBT ने इस गड़बड़ी के बाद Circle की सार्वजनिक रूप से आलोचना करते हुए बताया कि चोरी किए गए USDC की बड़ी मात्रा को अमेरिकी व्यावसायिक घंटों के दौरान Solana से Ethereum में स्थानांतरित किया गया, लेकिन उसे फ्रीज नहीं किया गया। ZachXBT ने इसकी तुलना Circle के हालिया फैसले से की, जिसमें उसने एक गोपनीय अमेरिकी दीवानी मामले में 16 असंबंधित कॉर्पोरेट हॉट वॉलेट को फ्रीज कर दिया था। ZachXBT का तर्क था कि Circle के पास हस्तक्षेप करने की तकनीकी क्षमता और स्पष्ट मिसाल दोनों थी, लेकिन वह नुकसान को सीमित करने के लिए पर्याप्त तेजी से कार्रवाई करने में विफल रहा।

इस हमले के पीछे कौन है?

मध्यम से उच्च स्तर के विश्वास के साथ, और SEALS 911 टीम द्वारा की गई जांच के आधार पर, ड्रिफ्ट की जांच में इस ऑपरेशन को उन्हीं हमलावरों द्वारा अंजाम दिया गया माना गया है जो अक्टूबर 2024 में रेडिएंट कैपिटल हैक के लिए जिम्मेदार थे। उस हमले का औपचारिक रूप से मैंडिएंट द्वारा उत्तर कोरियाई राज्य से संबद्ध समूह UNC4736 को श्रेय दिया गया था।

इस संबंध का आधार ऑन-चेन और ऑपरेशनल दोनों है। ड्रिफ्ट ऑपरेशन को अंजाम देने और परीक्षण करने के लिए इस्तेमाल किए गए फंड का संबंध रेडिएंट हमलावरों से जुड़े वॉलेट से है। इसके अलावा, ड्रिफ्ट अभियान के दौरान इस्तेमाल किए गए व्यक्तियों की पहचान डीपीआरके से जुड़ी गतिविधियों के ज्ञात पैटर्न से मिलती-जुलती है।

ड्रिफ्ट की टीम की ओर से एक महत्वपूर्ण स्पष्टीकरण: सम्मेलनों में व्यक्तिगत रूप से उपस्थित होने वाले व्यक्ति उत्तर कोरियाई नागरिक नहीं थे। इस स्तर के ऑपरेशन में, उत्तर कोरिया से जुड़े आतंकवादी संगठन प्रत्यक्ष संपर्क स्थापित करने के लिए तीसरे पक्ष के मध्यस्थों का उपयोग करते हैं, जिससे वास्तविक ऑपरेटिव दूर रहते हैं।

इस जांच के लिए मैंडिएंट को औपचारिक रूप से नियुक्त किया गया है, लेकिन उसने अभी तक ड्रिफ्ट एक्सप्लॉइट के लिए आधिकारिक तौर पर किसी को जिम्मेदार नहीं ठहराया है। इसके लिए डिवाइस फॉरेंसिक जांच पूरी होनी आवश्यक है, जो अभी जारी है।

वर्तमान प्रतिक्रिया उपाय

प्रकाशन के समय तक, ड्रिफ्ट ने निम्नलिखित कदम उठाए हैं:

• प्रोटोकॉल के सभी शेष कार्यों को रोक दिया गया है।
• संदिग्ध वॉलेट को मल्टीसिग से हटा दिया गया है।
• एक्सचेंजों और ब्रिज ऑपरेटरों पर हमलावर वॉलेट को चिह्नित कर दिया गया है।
• मैंडिएंट को प्राथमिक फोरेंसिक भागीदार के रूप में नियुक्त किया गया है।

ड्रिफ्ट ने कहा कि वह इन विवरणों को सार्वजनिक रूप से साझा कर रहा है ताकि इकोसिस्टम में अन्य टीमें समझ सकें कि इस प्रकार का हमला वास्तव में कैसा दिखता है, और तदनुसार खुद को बचाने के लिए कदम उठा सकें।

निष्कर्ष

ड्रिफ्ट प्रोटोकॉल हैक किसी ऑडिट से बच निकलने वाली कोड खामी की कहानी नहीं है। यह लगातार किए गए मानवीय धोखे की कहानी है। हमलावरों ने आमने-सामने की मुलाकातों, एक कारगर वॉल्ट इंटीग्रेशन और अपनी जमा पूंजी के 1 लाख डॉलर से अधिक खर्च करके विश्वसनीयता बनाने में छह महीने बिताए, और फिर 12 मिनट के भीतर 285 मिलियन डॉलर की हेराफेरी कर दी।

 तकनीकी कारक, एक दुर्भावनापूर्ण कोड भंडार और एक नकली टेस्टफ्लाइट ऐप, इसलिए प्रभावी साबित हुए क्योंकि उन्हें खोलने के लिए आवश्यक विश्वास पहले से ही सावधानीपूर्वक निर्मित किया गया था। 

DeFi प्रोटोकॉल के लिए सबक सीधा है: हमले का दायरा केवल स्मार्ट कॉन्ट्रैक्ट तक सीमित नहीं है। इसमें हर योगदानकर्ता डिवाइस, हर तृतीय-पक्ष रिपॉजिटरी और उद्योग सम्मेलन में बने हर संबंध शामिल हैं। UNC4736 ने इसे दो बार प्रदर्शित किया है, पहली बार अक्टूबर 2024 में रेडिएंट कैपिटल में और फिर अप्रैल 2026 में ड्रिफ्ट में, हर बार उसी धैर्यपूर्ण और संसाधन-समर्थित दृष्टिकोण के साथ।

संसाधन

1. X पर ड्रिफ्ट प्रोटोकॉल: 5 मार्च को पोस्ट किया गया

2. X पर पेकशील्ड: पोस्ट (1-2 अप्रैल)

3. एक्स पर लुकऑनचेन: पोस्ट (1-2 अप्रैल)