Bursa terdesentralisasi (DEX) berbasis Solana, Drift Protocol, pada Minggu mengatakan bahwa serangan yang menguras sekitar $285 juta dari platform tersebut adalah operasi intelijen terstruktur selama enam bulan oleh kelompok ancaman yang berafiliasi dengan negara Korea Utara.
Para penyerang menggunakan identitas profesional palsu, pertemuan konferensi langsung, dan alat pengembang berbahaya untuk membahayakan kontributor sebelum melancarkan penarikan dana, kata protokol tersebut dalam pembaruan insiden terperinci.
https://t.co/qYBMCup9i6
— Drift (@DriftProtocol) April 5, 2026
"Tim kripto kini menghadapi musuh yang beroperasi lebih seperti unit intelijen daripada peretas, dan sebagian besar organisasi tidak siap secara struktural untuk tingkat ancaman seperti itu,” kata Michael Pearl, VP of Strategy di perusahaan keamanan blockchain Cyvers, kepada Decrypt.
Drift mengatakan kelompok itu pertama kali mendekati para kontributor pada konferensi kripto besar musim gugur lalu, memperkenalkan diri sebagai perusahaan perdagangan kuantitatif yang ingin berintegrasi dengan protokol.
Selama berbulan-bulan, kelompok tersebut membangun kepercayaan melalui pertemuan tatap muka, koordinasi Telegram, memasang Ecosystem Vault di Drift, dan melakukan deposit vault sebesar $1 juta dari modal mereka sendiri, hanya untuk menghilang, dengan obrolan dan malware “dibersihkan sepenuhnya” saat eksploitasi terjadi.
DEX tersebut mengatakan bahwa intrusi mungkin melibatkan repositori kode berbahaya, aplikasi TestFlight palsu, dan kerentanan VSCode/Cursor yang memungkinkan eksekusi kode senyap tanpa interaksi pengguna.
Drift mengaitkan serangan tersebut dengan “keyakinan sedang-tinggi” kepada UNC4736, yang juga dilacak sebagai AppleJeus atau Citrine Sleet—kelompok yang berafiliasi dengan negara Korea Utara yang sama yang dikaitkan oleh perusahaan keamanan siber Mandiant dengan peretasan Radiant Capital tahun 2024.
Drift mengatakan individu yang bertemu kontributor secara langsung bukanlah warga negara Korea Utara, mencatat bahwa aktor-aktor yang terkait dengan DPRK sering mengandalkan perantara pihak ketiga untuk “keterlibatan tatap muka.”
Aliran dana on-chain dan tumpang tindihnya persona menunjukkan aktor-aktor terkait DPRK, menurut penanggap insiden SEAL 911, meskipun Mandiant belum mengkonfirmasi atribusi sambil menunggu forensik, catat platform tersebut.
Peneliti keamanan @tayvano_, salah satu ahli yang diakui Drift atas bantuannya dalam mengidentifikasi pelaku jahat, menyarankan bahwa paparan tersebut meluas jauh melampaui insiden ini.
Dalam sebuah tweet, ahli tersebut mencantumkan puluhan protokol DeFi, menuduh bahwa “pekerja TI DPRK membangun protokol yang Anda kenal dan sukai, jauh sebelum ‘defi summer’.”
"Drift dan Bybit menyoroti pola yang sama — penanda tangan tidak secara langsung dikompromikan di tingkat protokol, mereka ditipu untuk menyetujui transaksi berbahaya,” catat Pearl. “Masalah intinya bukanlah jumlah penanda tangan, tetapi kurangnya pemahaman tentang maksud transaksi.”
Ia mengatakan bahwa dompet multisignature, meskipun merupakan peningkatan dibandingkan kontrol satu kunci, kini menciptakan rasa aman yang salah, memperkenalkan “paradoks” di mana tanggung jawab bersama menurunkan pengawasan di antara para penanda tangan.
“Keamanan harus bergeser ke validasi pra-transaksi di tingkat blockchain, di mana transaksi disimulasikan dan diverifikasi secara independen sebelum eksekusi,” kata Pearl, menambahkan bahwa begitu penyerang mengendalikan apa yang dilihat pengguna, satu-satunya pertahanan yang efektif adalah memvalidasi apa yang sebenarnya dilakukan oleh transaksi, terlepas dari antarmuka.
Mengenai alat pengembang sebagai permukaan serangan, Lavid mengatakan asumsi harus berubah dari awal.
“Anda harus berasumsi bahwa titik akhir telah disusupi,” katanya kepada Decrypt, menunjuk pada IDE, repositori kode, aplikasi seluler, dan lingkungan penanda tangan sebagai titik masuk yang semakin umum.
“Jika alat-alat dasar ini rentan, apa pun yang ditampilkan kepada pengguna—termasuk transaksi—dapat dimanipulasi,” kata ahli tersebut, mencatat bahwa ini “secara fundamental merusak asumsi keamanan tradisional,” membuat tim tidak dapat mempercayai “antarmuka, perangkat, atau bahkan alur penandatanganan.”
