Drift Protocol noong Sabado ay naglathala ng pinakadetalyadong ulat nito hinggil sa paglusob noong Abril 1 na nag-alis ng humigit-kumulang $280 milyon mula sa palitan ng perpetuals na nakabatay sa Solana, na naglalarawan sa tinawag ng koponan na isang "naka-estrukturang operasyong pang-intelehensya" na tumagal ng halos anim na buwan upang ihanda.
Ayon sa update, ang unang pakikipag-ugnayan ay naganap noong o humigit-kumulang taglagas ng 2025, nang lumapit ang mga indibidwal na nagpakilalang isang quant trading firm sa mga contributor ng Drift sa isang malaking kumperensya ng crypto at nagpahayag ng interes na mag-integrate sa protocol. Isang Telegram group ang binuo sa unang pagpupulong na iyon, at ang parehong mga indibidwal ay patuloy na nakipagkita sa mga contributor ng Drift nang harapan sa mga kaganapan sa industriya sa iba't ibang bansa sa mga sumunod na buwan.
Sa pagitan ng Disyembre 2025 at Enero 2026, isinama ng grupo ang isang Ecosystem Vault sa Drift, pinupunan ang standard na porma ng diskarte, dumalo sa maraming working session kasama ang mga contributor, at nagdeposito ng mahigit $1 milyon ng sarili nilang kapital. Sinabi ng Drift na ang pag-uugali ay naaayon sa kung paano karaniwang nag-iintegrate ang mga lehitimong trading firm sa protocol.
Ang pagsusuri ng forensics sa mga apektadong device at kasaysayan ng komunikasyon pagkatapos ng paglusob ay itinuro ang ugnayan na iyon bilang posibleng daanan ng pagpasok. Sinabi ng Drift na ang mga chat ng grupo sa Telegram at ang nauugnay na malisyosong software ay binura sa mga sandali nang magsimula ang pag-atake.
Ang paunang pagtatasa ng Drift ay tumutukoy ng dalawang posibleng paraan ng kompromiso. Isang contributor ang maaaring nahawaan matapos i-clone ang isang code repository na ibinahagi ng grupo sa ilalim ng pagkukunwari na mag-deploy ng frontend para sa kanilang vault. Ang pangalawang contributor ay nahikayat na mag-install ng isang beta version ng app sa pamamagitan ng TestFlight build ng Apple na inilarawan ng grupo bilang kanilang produkto ng wallet.
Para sa landas ng repository, itinuro ng Drift ang isang VS Code at Cursor vulnerability na matagal nang pampublikong pinagbabalaan ng mga security researcher sa pagitan ng Disyembre 2025 at Pebrero 2026, kung saan ang simpleng pagbubukas ng isang file, folder, o repository sa editor ay maaaring tahimik na magpatupad ng arbitrary code nang walang anumang user prompt.
Ang mismong exploit, gaya ng naunang naiulat ng The Block, ay hindi kasama ang isang bug sa smart contract. Inilarawan ito ng Drift bilang isang "bagong uri ng pag-atake na may kinalaman sa durable nonces," isang lehitimong primitive ng Solana na nagpapahintulot sa mga transaksyon na ma-pre-sign at maisagawa sa huli. Nakuha ng attacker ang mga multisig approval nang maaga, marahil sa pamamagitan ng social engineering o maling representasyon ng transaksyon, pagkatapos ay ginamit ang mga pre-signed na awtorisasyon upang sakupin ang mga kapangyarihang administratibo ng Security Council at i-drain ang protocol sa loob ng ilang minuto.
Sinabi ng Drift na sa tulong ng koponan ng SEAL 911, tinatasa nito nang may "medium-high confidence" na ang operasyon ay isinagawa ng parehong mga aktor na sinusuportahan ng estado ng North Korea na responsable sa $50 milyong Radiant Capital hack noong Oktubre 2024, na iniugnay ng Mandiant sa UNC4736, kilala rin bilang AppleJeus o Citrine Sleet, isang grupo ng hacker na may koneksyon sa Reconnaissance General Bureau ng bansa.
Ang koneksyon ay nakabatay sa parehong onchain at operational overlaps, ayon sa Drift. Ang mga daloy ng pondo na ginamit upang ihanda at subukan ang operasyon ng Drift ay nagmumula sa mga umaatake sa Radiant, at ang mga persona na ginamit sa kampanya ay may nakikitang pagkakatulad sa mga kilalang aktibidad na may kaugnayan sa DPRK, sabi ng Drift.
Kapansin-pansin, binigyang-diin ng Drift na ang mga indibidwal na nagpakita sa mga kumperensya nang personal ay hindi mga mamamayan ng North Korea. Kilala ang mga aktor ng banta ng DPRK na nagpapatakbo sa antas na ito na gumagamit ng mga third-party na intermediaryo upang hawakan ang gawain ng pagbuo ng relasyon, sabi ng protocol, at ang mga profile na ginamit sa operasyon na ito ay may kumpletong kasaysayan ng trabaho, pampublikong kredensyal, at propesyonal na network na idinisenyo upang makayanan ang due diligence ng kabilang partido.
Ang Mandiant, na kinuha ng Drift upang pamunuan ang imbestigasyong forensics, ay hindi pa pormal na iniuugnay ang exploit ng Drift. Ang pagtukoy na iyon ay nakabinbin sa natapos na device forensics.
Sinabi ng Drift na lahat ng natitirang function ng protocol ay na-freeze na, ang mga compromised na wallet ay inalis na mula sa multisig, at ang mga address ng umaatake ay na-flag na sa mga exchange at bridge operator. Ang onchain sleuth na si ZachXBT ay hiwalay na pinuna ang stablecoin issuer na Circle para sa tinawag niyang mabagal na pagtugon, inaakusahan na ang umaatake ay nag-bridge ng humigit-kumulang 232 milyong USDC mula Solana patungong Ethereum sa pamamagitan ng CCTP sa loob ng anim na oras nang walang anumang pondo na na-freeze.
Ang exploit ng Drift ang pinakamalaking DeFi hack ng 2026 hanggang sa kasalukuyan at pumapangalawa sa pinakamalaking insidente ng seguridad sa kasaysayan ng Solana sa likod ng $325 milyong Wormhole bridge attack noong 2022.
Pinuri ng Drift ang mga independiyenteng researcher at miyembro ng SEAL 911 na sina Taylor Monahan, tanuki42_, pcaversaccio, at Nick Bax para sa kanilang trabaho sa pagtukoy sa mga aktor, at hinimok ang anumang koponan na naniniwalang sila ay maaaring na-target ng parehong grupo na direktang makipag-ugnayan sa SEAL 911.
"Sa totoo lang – ito ang pinaka-detalyado at target na atake na sa tingin ko ay nakita kong ginawa ng DPRK sa espasyo ng crypto," isinulat ni tanuki42_ sa X, bukod pa sa babala na maaaring na-target din ang ibang protocol. "Ang pagre-recruit ng maraming facilitator at pagkatapos ay pagpapahintulot sa kanila na i-target ang mga partikular na tao sa totoong buhay sa mga pangunahing kaganapan sa crypto ay isang napakabangis na taktika."
Disclaimer: Ang The Block ay isang independiyenteng media outlet na naghahatid ng balita, pananaliksik, at data. Simula Nobyembre 2023, ang Foresight Ventures ang karamihan ng investor ng The Block. Nag-iinvest ang Foresight Ventures sa iba pang kumpanya sa espasyo ng crypto. Ang crypto exchange na Bitget ay isang anchor LP para sa Foresight Ventures. Patuloy na nagpapatakbo ang The Block nang independiyente upang maghatid ng obhetibo, epektibo, at napapanahong impormasyon tungkol sa industriya ng crypto. Narito ang aming kasalukuyang financial disclosures.
© 2026 The Block. Lahat ng Karapatan ay Nakalaan. Ang artikulong ito ay ibinibigay para sa layunin ng impormasyon lamang. Hindi ito iniaalok o inilaan na gamitin bilang legal, buwis, pamumuhunan, pinansyal, o iba pang payo.
