Drift Protocol publiceerde zaterdag zijn meest gedetailleerde verslag tot nu toe van de exploit op 1 april die ongeveer $280 miljoen onttrok aan de op Solana gebaseerde perpetuals exchange. Het team beschreef het als een "gestructureerde inlichtingenoperatie" die ongeveer zes maanden duurde om op te zetten.
Volgens de update vond het eerste contact plaats in of rond het najaar van 2025, toen individuen die zich voordeden als een kwantitatief handelsbedrijf Drift-contributors benaderden op een grote cryptoconferentie en interesse toonden in integratie met het protocol. Tijdens die eerste bijeenkomst werd een Telegram-groep opgezet, en dezelfde individuen bleven de daaropvolgende maanden Drift-contributors persoonlijk ontmoeten op branche-evenementen in meerdere landen.
Tussen december 2025 en januari 2026 heeft de groep een Ecosystem Vault op Drift in gebruik genomen, waarbij ze het standaard strategieformulier invulden, deelnamen aan meerdere werksessies met contributors en meer dan $1 miljoen van hun eigen kapitaal stortten. Drift stelde dat dit gedrag overeenkwam met hoe legitieme handelsbedrijven doorgaans integreren met het protocol.
Forensisch onderzoek van getroffen apparaten en communicatiegeschiedenissen na de exploit wees naar die relatie als het waarschijnlijke intrusiepad. Drift zei dat de Telegram-chats van de groep en bijbehorende kwaadaardige software werden gewist op het moment dat de aanval live ging.
De voorlopige beoordeling van Drift identificeert twee mogelijke compromitteringsmethoden. Eén contributor is mogelijk geïnfecteerd na het klonen van een coderepository die de groep deelde onder het voorwendsel van het implementeren van een frontend voor hun vault. Een tweede contributor werd ertoe aangezet om een bètaversie van een app te installeren via Apple's TestFlight-build, die de groep beschreef als hun wallet-product.
Wat betreft het repository-pad, signaleerde Drift een kwetsbaarheid in VS Code en Cursor waar beveiligingsonderzoekers publiekelijk voor hadden gewaarschuwd tussen december 2025 en februari 2026. Hierbij kon het simpelweg openen van een bestand, map of repository in de editor stilzwijgend willekeurige code uitvoeren zonder gebruikersprompt.
De exploit zelf, zoals The Block eerder meldde, betrof geen smart contract bug. Drift heeft het beschreven als een "nieuwe aanval met duurzame nonces," een legitieme Solana-primitive die het mogelijk maakt dat transacties vooraf worden ondertekend en later worden uitgevoerd. De aanvaller verkreeg van tevoren multisig-goedkeuringen, waarschijnlijk door middel van social engineering of misrepresentatie van transacties, en gebruikte vervolgens de vooraf ondertekende autorisaties om administratieve bevoegdheden van de Security Council over te nemen en het protocol binnen enkele minuten leeg te halen.
Drift verklaarde dat het, met ondersteuning van het SEAL 911-team, met "middelhoog vertrouwen" inschat dat de operatie werd uitgevoerd door dezelfde door de staat gesponsorde Noord-Koreaanse actoren die verantwoordelijk waren voor de $50 miljoen Radiant Capital hack in oktober 2024, welke Mandiant toeschreef aan UNC4736, ook bekend als AppleJeus of Citrine Sleet, een hackergroep met banden met het Verkenningsbureau van het land.
De link berust op zowel onchain als operationele overlappingen, aldus Drift. Fondsenstromen die werden gebruikt om de Drift-operatie voor te bereiden en te testen, zijn terug te voeren op de Radiant-aanvallers, en de persona's die tijdens de campagne werden ingezet, vertonen identificeerbare overlappingen met bekende DPRK-gerelateerde activiteiten, aldus Drift.
Opvallend is dat Drift benadrukte dat de individuen die persoonlijk op conferenties verschenen geen Noord-Koreaanse staatsburgers waren. DPRK-dreigingsactoren die op dit niveau opereren, staan erom bekend derden in te zetten om relatieopbouwende taken te verrichten, aldus het protocol, en de profielen die bij deze operatie werden gebruikt, hadden volledige werkgeschiedenissen, openbare referenties en professionele netwerken die ontworpen waren om de due diligence van tegenpartijen te doorstaan.
Mandiant, dat door Drift is ingeschakeld om het forensisch onderzoek te leiden, heeft de Drift-exploit nog niet formeel toegeschreven. Die vaststelling is in afwachting van afgerond forensisch onderzoek van de apparaten.
Drift meldde dat alle resterende protocolfuncties zijn bevroren, de gecompromitteerde wallets zijn verwijderd uit de multisig, en aanvallersadressen zijn gemarkeerd bij exchanges en bridge-operators. Onchain speurder ZachXBT heeft afzonderlijk stablecoin-uitgever Circle bekritiseerd vanwege wat hij een trage reactie noemde, bewerend dat de aanvaller ongeveer 232 miljoen USDC van Solana naar Ethereum heeft overbrugd via CCTP gedurende zes uur zonder dat er fondsen werden bevroren.
De Drift-exploit is de grootste DeFi-hack van 2026 tot nu toe en staat als het op één na grootste beveiligingsincident in de geschiedenis van Solana, na de $325 miljoen Wormhole bridge-aanval in 2022.
Drift bedankte onafhankelijke onderzoekers en leden van SEAL 911, Taylor Monahan, tanuki42_, pcaversaccio en Nick Bax, voor hun werk bij het identificeren van de actoren, en drong er bij teams die denken dat zij mogelijk door dezelfde groep zijn getroffen, op aan rechtstreeks contact op te nemen met SEAL 911.
"Echt waar – dit is de meest uitgebreide en gerichte aanval die ik door de DPRK heb zien plegen in de crypto-ruimte," schreef tanuki42_ op X, naast de waarschuwing dat andere protocollen mogelijk ook zijn getroffen. "Meerdere facilitators rekruteren en hen vervolgens specifieke mensen in het echte leven laten targeten op grote crypto-evenementen is een waanzinnige tactiek."
Disclaimer: The Block is een onafhankelijk mediakanaal dat nieuws, onderzoek en data levert. Sinds november 2023 is Foresight Ventures een meerderheidsinvesteerder van The Block. Foresight Ventures investeert in andere bedrijven in de crypto-ruimte. Cryptobeurs Bitget is een anker-LP voor Foresight Ventures. The Block blijft onafhankelijk opereren om objectieve, impactvolle en tijdige informatie over de crypto-industrie te leveren. Hier zijn onze huidige financiële openbaarmakingen.
© 2026 The Block. Alle rechten voorbehouden. Dit artikel wordt uitsluitend ter informatie verstrekt. Het wordt niet aangeboden of bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.
