Inilarawan ni Solana co-founder Anatoly Yakovenko ang kamakailang pag-hack sa Drift Protocol bilang "nakakatakot" matapos mabunyag na ito ay resulta ng isang sopistikadong social engineering attack na isinagawa ng mga hacker mula sa North Korea.
Ayon sa ulat ng U.Today, kamakailan ay ninakawan ang Drift Protocol ng $270 milyon, na siyang pinakamalaking Solana hack sa kasaysayan ng ecosystem. Napilitan ang protocol na itigil ang lahat ng deposito at withdrawal, na hayagang nagbabala sa mga user na ang insidente ay hindi isang biro para sa April Fools'.
Ang ulat, na kamakailang ibinahagi ng Drift Protocol, ay nagbunyag na ang mga masasamang aktor sa likod ng makasaysayang hack ay pisikal na sinundan at isinagawa ang social engineering sa mga developer sa totoong buhay. Nangailangan ito ng nakakagulat na pasensya at mga mapagkukunan.
Malakas ang hinala na ang operasyon ay gawa ng isang pangkat ng banta na kaanib sa estado ng North Korea.
Simula sa huling bahagi ng 2025, ang mga ikatlong-partido na tagapamagitan (na hindi mamamayan ng North Korea) ay pisikal na nilapitan ang mga nag-ambag ng Drift sa mga pangunahing kumperensya ng crypto. Ang mga umaatake, na nagpakita ng mapapatunayang propesyonal na background at teknikal na kasanayan, ay nagpanggap bilang isang quantitative trading firm na naghahanap ng integrasyon sa protocol.
Ang pekeng trading firm ay nag-onboard ng isang Ecosystem Vault sa Drift sa pagitan ng Disyembre 2025 at Enero 2026 at nagdeposito ng mahigit $1 milyon ng kanilang sariling kapital.
Ang mga umaatake ay nagawang panatilihin ang ilusyon sa loob ng kalahating taon. Malapit silang nakikipagtulungan sa mga nag-ambag ng Drift sa pamamagitan ng maraming sesyon ng trabaho at nakikipagkita sa kanila nang personal sa iba't ibang internasyonal na kumperensya mula Pebrero hanggang Marso 2026.
Pagsapit ng Abril, matagumpay na naitatag ng mga umaatake ang isang pinagkakatiwalaang relasyon sa negosyo. Hindi pinaghihinalaan ng mga nag-ambag ng Drift ang masamang intensyon nang ibahagi ng grupo ang mga link sa mga proyekto na sinasabi nilang itinatayo.
Isang nag-ambag ang nag-clone ng isang code repository na ibinahagi ng mga umaatake. Ang repositoryong ito ay malamang na naglalaman ng isang kilalang kahinaan na nakakaapekto sa mga VSCode at Cursor text editor. Isang pangalawang nag-ambag ang nahikayat na mag-download ng isang pekeng TestFlight application.
Binura ng mga umaatake ang lahat ng kanilang Telegram chat at tinanggal ang malisyosong software matapos ang matagumpay na exploit.
