Drift Protocol heeft gezegd dat de aanval op 1 april op hun platform het resultaat was van maandenlange planning en social engineering.
De gedecentraliseerde beurs koppelde de zaak aan een groep die tijd besteedde aan het opbouwen van vertrouwen bij medewerkers voordat ze kwaadaardige tools en links verstuurde. Externe schattingen ramen het verlies op ongeveer $280 miljoen.
Drift Protocol zei dat hun vroege onderzoek een lange en georganiseerde campagne tegen het platform heeft aangetroffen. Het team zei dat de aanvallers tijdens de operatie "organisatorische steun, middelen en maanden van opzettelijke voorbereiding" toonden.
De beurs zei dat het contact rond oktober 2025 begon. Volgens Drift benaderden mensen die zich voordeden als leden van een kwantitatief handelsbedrijf medewerkers op een grote cryptoconferentie en beweerden ze te willen integreren met het protocol.
Drift zei dat de groep de komende zes maanden medewerkers bleef ontmoeten op verschillende evenementen in de sector. Het team zei dat de betrokken personen technisch vaardig waren, wisten hoe Drift werkte en een echte professionele achtergrond leken te hebben.
Dat gestage contact hielp de groep vertrouwen te winnen. Drift zei dat de aanvallers later kwaadaardige links en tools gebruikten die met medewerkers werden gedeeld om apparaten te compromitteren, de exploit uit te voeren en sporen van hun activiteit na de inbraak te verwijderen.
Daarnaast zei Drift dat het met "middelhoge tot hoge zekerheid" kan stellen dat dezelfde daders achter de Radiant Capital-hack van oktober 2024 deze exploit hebben uitgevoerd. Die eerdere aanval veroorzaakte verliezen van ongeveer $58 miljoen en omvatte ook malware die werd gebruikt om toegang te krijgen tot interne systemen.
Radiant Capital zei in december 2024 dat een met Noord-Korea gelieerde hacker zich voordeed als een voormalige aannemer en malware via Telegram verstuurde. Radiant zei dat "dit ZIP-bestand" later onder ontwikkelaars werd verspreid voor feedback en de weg opende voor de inbraak.
Drift zei dat de mensen die medewerkers persoonlijk ontmoetten "geen Noord-Koreaanse staatsburgers waren." Tegelijkertijd zei het team dat aan de DPRK gekoppelde dreigingsactoren vaak gebruikmaken van externe tussenpersonen voor persoonlijk contact en het opbouwen van relaties.
De beurs zei dat het nu samenwerkt met wetshandhavingsinstanties en andere deelnemers aan de crypto-industrie om een volledig dossier op te bouwen van de aanval van 1 april.
De zaak heeft ook een nieuwe waarschuwing toegevoegd voor cryptobedrijven, aangezien conferenties en persoonlijke ontmoetingen dreigingsgroepen de kans kunnen geven om teams te bestuderen, vertrouwen op te bouwen en latere aanvallen voor te bereiden.
