Drift Protocol (DRIFT) publiserte en detaljert hendelsesrapport 5. april, og avslørte at utnyttelsen på $ 285 millioner 1. april var resultatet av en seks måneder lang etterretningsoperasjon utført av nordkoreansk statlig støttede aktører.
Avsløringen beskriver et nivå av sosial manipulering som går langt utover vanlige phishing- eller rekrutteringssvindler. Angrepet involverte blant annet fysiske møter, reell kapitalplassering og månedslang tillitsbygging.
Et falskt tradingfirma som satset langsiktig
I følge Drift tok en gruppe som utga seg for å være et kvantitativt tradingfirma først kontakt med bidragsytere på en stor kryptokonferanse høsten 2025.
I månedene etterpå dukket disse personene opp på flere arrangementer i ulike land, arrangerte arbeidsmøter og hadde fortløpende Telegram-samtaler om integrasjon av safer.
Følg oss på X for å få de siste nyhetene mens de skjer
Mellom desember 2025 og januar 2026 tok gruppen i bruk en Ecosystem Vault på Drift, satte inn over $ 1 million i kapital og deltok i detaljert produktutvikling.
Innen mars hadde Drift-bidragsytere møtt disse personene ansikt til ansikt ved flere anledninger.
“…de farligste hackerne ser ikke ut som hackere,” kommenterte krypto-utvikler Gautham.
Selv nettsikkerhetseksperter finner dette urovekkende. Forsker Tay delte at hun opprinnelig forventet en vanlig rekrutteringssvindel, men syntes dybden i denne operasjonen var langt mer bekymringsfull.
Hvordan enhetene ble kompromittert
Drift identifiserte tre sannsynlige angrepsvektorer:
- En bidragsyter klonet et kode-repositorium som gruppen delte for en vault-front.
- En annen lastet ned en TestFlight-applikasjon som ble presentert som et wallet-produkt.
- Når det gjelder repository-vektoren, påpekte Drift en kjent VSCode- og Cursor-sårbarhet som sikkerhetsforskere hadde varslet om siden slutten av 2025.
Denne feilen gjorde det mulig å kjøre vilkårlig kode i stillhet i det øyeblikket en fil eller mappe ble åpnet i editoren, uten noen brukerinteraksjon.
Etter uttømmingen 1. april slettet angriperne alle Telegram-chatter og ondsinnet programvare. Drift har siden fryst gjenværende protokollfunksjoner og fjernet kompromitterte lommebøker fra multisig.
SEALS 911-teamet vurderte med middels-høy sikkerhet at de samme trusselaktørene sto bak Radiant Capital-hacket i oktober 2024, som Mandiant tilskrev UNC4736.
Flyten av midler på kjeden og operasjonelle likheter mellom de to kampanjene støtter denne koblingen.
Bransjen etterlyser sikkerhetsreset
Armani Ferrante, en kjent Solana-utvikler, oppfordret alle krypto-team til å sette vekst på pause og revidere hele sitt sikkerhetsoppsett.
“Alle team innen krypto bør bruke dette som en anledning til å bremse og fokusere på sikkerhet. Om mulig, dediker et helt team til dette … du kan ikke vokse hvis du blir hacket,” sa Ferrante.
Drift påpekte at personene som møtte opp fysisk ikke var nordkoreanske statsborgere. Trusselaktører fra DPRK på dette nivået er kjent for å bruke tredjeparts mellommenn til møter ansikt til ansikt.
Mandiant, som Drift har engasjert for kriminalteknisk analyse av utstyr, har ennå ikke formelt tilskrevet utnyttelsen.
Avsløringen fungerer som en advarsel til hele økosystemet. Drift oppfordret team til å gjennomgå tilgangskontroller, å behandle enhver enhet som berører en multisig som et potensielt mål, og kontakte SEAL 911 hvis de mistenker lignende målretting.
