Sinabi ng Solana-based decentralized exchange na Drift Protocol noong Linggo na ang atake na umubos ng humigit-kumulang $285 milyon mula sa platform ay isang nakabalangkas na anim na buwang intelligence operation ng isang North Korean state-affiliated threat group.
Ginamit ng mga umaatake ang mga pekeng propesyonal na pagkakakilanlan, personal na pagpupulong sa kumperensya, at malisyosong developer tools para ikompromiso ang mga contributor bago isagawa ang pag-drain, sabi ng protocol sa isang detalyadong update sa insidente.
https://t.co/qYBMCup9i6
— Drift (@DriftProtocol) April 5, 2026
"Ang mga crypto team ay humaharap ngayon sa mga kalaban na mas gumagana tulad ng mga intelligence unit kaysa sa mga hacker, at karamihan sa mga organisasyon ay hindi structurally handa para sa ganoong antas ng banta," sabi ni Michael Pearl, VP of Strategy sa blockchain security firm na Cyvers, sa Decrypt.
Sinabi ng Drift na unang nilapitan ng grupo ang mga contributor sa isang malaking crypto conference noong nakaraang taglagas, na nagpakilalang isang quantitative trading firm na naghahanap ng integrasyon sa protocol.
Sa loob ng ilang buwan, binuo ng grupo ang tiwala sa pamamagitan ng personal na pagpupulong, koordinasyon sa Telegram, nag-onboard ng isang Ecosystem Vault sa Drift, at gumawa ng $1 milyong vault deposit ng sarili nilang kapital, para lang maglaho, na may mga chat at malware na "ganap na nilinis" nang tumama ang exploit.
Sinabi ng DEX na ang panghihimasok ay maaaring may kasamang malisyosong code repository, isang pekeng TestFlight app, at isang VSCode/Cursor vulnerability na nagpapagana ng tahimik na code execution nang walang interaksyon ng user.
Inugnay ng Drift ang atake na may "katamtaman-hanggang-mataas na kumpiyansa" sa UNC4736, na sinusubaybayan din bilang AppleJeus o Citrine Sleet—ang parehong North Korean state-affiliated group na iniugnay ng cybersecurity firm na Mandiant sa Radiant Capital hack noong 2024.
Sinabi ng Drift na ang mga indibidwal na nakipagkita sa mga contributor nang personal ay hindi North Korean nationals, na binabanggit na ang mga aktor na may koneksyon sa DPRK ay madalas na umaasa sa mga third-party intermediary para sa "face-to-face engagement."
Ang onchain fund flows at magkakapatong na persona ay tumutukoy sa mga aktor na may koneksyon sa DPRK, ayon sa mga incident responder na SEAL 911, bagaman hindi pa kinukumpirma ng Mandiant ang atribusyon habang nakabinbin ang forensics, ayon sa platform.
Ang security researcher na si @tayvano_, isa sa mga eksperto na pinasalamatan ng Drift para sa tulong sa pagtukoy sa mga malisyosong aktor, ay nagmungkahi na ang exposure ay lumalampas pa sa insidenteng ito.
Sa isang tweet, inilista ng eksperto ang dose-dosenang DeFi protocol, na sinasabing "DPRK IT workers ang bumuo ng mga protocol na alam at mahal ninyo, mula pa noong defi summer."
"Ang Drift at Bybit ay nagpapakita ng parehong pattern — ang mga signer ay hindi direktang nakompromiso sa antas ng protocol, sila ay nalinlang upang aprubahan ang mga malisyosong transaksyon," sabi ni Pearl. "Ang pangunahing isyu ay hindi ang bilang ng mga signer, kundi ang kakulangan ng pag-unawa sa intensyon ng transaksyon."
Sinabi niya na ang mga multisignature wallet, bagaman isang pagpapabuti kaysa sa single-key control, ay lumilikha ngayon ng maling pakiramdam ng seguridad, na nagpapakilala ng "isang paradoks" kung saan ang shared responsibility ay nagpapababa ng pagsisiyasat sa mga signer.
"Dapat lumipat ang seguridad sa pre-transaction validation sa antas ng blockchain, kung saan ang mga transaksyon ay independiyenteng sinisilid at bine-verify bago isagawa," sabi ni Pearl, idinagdag na kapag kontrolado ng mga umaatake ang nakikita ng mga user, ang tanging epektibong depensa ay ang pag-validate kung ano talaga ang ginagawa ng isang transaksyon, anuman ang interface.
Tungkol sa mga developer tools bilang isang attack surface, sinabi ni Lavid na ang pag-aakala ay kailangang magbago mula sa simula.
"Dapat mong ipagpalagay na ang endpoint ay nakompromiso," sabi niya sa Decrypt, na tumutukoy sa mga IDE, code repository, mobile app, at signer environment bilang lalong karaniwang mga entry point.
"Kung ang mga pangunahing tool na ito ay vulnerable, anumang ipinapakita sa user—kabilang ang mga transaksyon—ay maaaring manipulahin," sabi ng eksperto, na binabanggit na ito ay "pangunahing sumisira sa tradisyonal na mga pagpapalagay sa seguridad," na nag-iiwan sa mga team na hindi makapaniwala sa "interface, device, o maging sa signing flow."
