Drift Protocol menyatakan serangan 1 April pada platformnya menyusul perencanaan dan rekayasa sosial berbulan-bulan.
Bursa terdesentralisasi tersebut mengaitkan kasus ini dengan sebuah kelompok yang menghabiskan waktu membangun kepercayaan dengan kontributor sebelum mengirimkan alat dan tautan berbahaya. Perkiraan eksternal menempatkan kerugian sekitar $280 juta.
Drift Protocol menyatakan tinjauan awalnya menemukan kampanye yang panjang dan terorganisir terhadap platform tersebut. Tim mengatakan para penyerang menunjukkan “dukungan organisasi, sumber daya, dan persiapan yang disengaja selama berbulan-bulan” selama operasi.
Bursa tersebut mengatakan kontak dimulai sekitar Oktober 2025. Menurut Drift, orang-orang yang menyamar sebagai anggota perusahaan perdagangan kuantitatif mendekati kontributor di konferensi kripto besar dan mengklaim ingin berintegrasi dengan protokol tersebut.
Drift mengatakan kelompok itu terus bertemu kontributor di beberapa acara industri selama enam bulan berikutnya. Tim mengatakan orang-orang yang terlibat terampil secara teknis, mengetahui cara kerja Drift, dan tampak memiliki latar belakang profesional yang nyata.
Kontak yang stabil itu membantu kelompok tersebut mendapatkan kepercayaan. Drift mengatakan penyerang kemudian menggunakan tautan dan alat berbahaya yang dibagikan kepada kontributor untuk mengkompromikan perangkat, melakukan eksploitasi, dan menghapus jejak aktivitas mereka setelah pelanggaran.
Selain itu, Drift menyatakan memiliki "keyakinan tingkat menengah-tinggi" bahwa pelaku yang sama di balik peretasan Radiant Capital pada Oktober 2024 melakukan eksploitasi ini. Serangan sebelumnya menyebabkan kerugian sekitar $58 juta dan juga melibatkan malware yang digunakan untuk mendapatkan akses ke sistem internal.
Radiant Capital menyatakan pada Desember 2024 bahwa seorang peretas yang terkait dengan Korea Utara menyamar sebagai mantan kontraktor dan mengirim malware melalui Telegram. Radiant mengatakan "file ZIP ini" kemudian menyebar di kalangan pengembang untuk umpan balik dan membuka jalan bagi intrusi.
Drift mengatakan orang-orang yang bertemu kontributor secara langsung "bukan warga negara Korea Utara." Pada saat yang sama, tim mengatakan aktor ancaman yang terkait dengan DPRK sering menggunakan perantara pihak ketiga untuk kontak tatap muka dan membangun hubungan.
Bursa tersebut mengatakan kini bekerja sama dengan penegak hukum dan peserta industri kripto lainnya untuk membangun catatan lengkap serangan 1 April.
Kasus ini juga menambahkan peringatan baru bagi perusahaan kripto, karena konferensi dan pertemuan tatap muka dapat memberikan kesempatan kepada kelompok ancaman untuk mempelajari tim, membangun kepercayaan, dan mempersiapkan serangan di kemudian hari.
