De op Solana gebaseerde gedecentraliseerde beurs (DEX) Drift Protocol heeft zondag gezegd dat de aanval die ongeveer $285 miljoen van het platform heeft onttrokken, een gestructureerde zes maanden durende inlichtingenoperatie was van een met Noord-Korea gelieerde dreigingsgroep.
De aanvallers gebruikten gefabriceerde professionele identiteiten, persoonlijke vergaderingen op conferenties en kwaadaardige ontwikkelaarstools om medewerkers te compromitteren voordat ze de onttrekking uitvoerden, aldus het protocol in een gedetailleerde incidentupdate.
https://t.co/qYBMCup9i6
— Drift (@DriftProtocol) April 5, 2026
"Crypto-teams staan nu tegenover tegenstanders die meer opereren als inlichtingendiensten dan als hackers, en de meeste organisaties zijn structureel niet voorbereid op dat dreigingsniveau", vertelde Michael Pearl, VP Strategie bij blockchain-beveiligingsbedrijf Cyvers, aan Decrypt.
Drift zei dat de groep afgelopen herfst voor het eerst contact opnam met medewerkers op een grote cryptoconferentie, en zich voordeed als een kwantitatief handelsbedrijf dat wilde integreren met het protocol.
Maandenlang bouwde de groep vertrouwen op via persoonlijke ontmoetingen, Telegram-coördinatie, installeerde een 'Ecosystem Vault' op Drift en deed een storting van $1 miljoen eigen kapitaal in de kluis, om vervolgens te verdwijnen, waarbij chats en malware "volledig werden gewist" toen de exploit toesloeg.
De DEX zei dat de inbraak mogelijk een kwaadaardige code-repository, een nep TestFlight-app en een VSCode/Cursor-kwetsbaarheid omvatte die stille code-uitvoering zonder gebruikersinteractie mogelijk maakte.
Drift schreef de aanval met "middelgrote tot hoge zekerheid" toe aan UNC4736, ook bekend als AppleJeus of Citrine Sleet – dezelfde met Noord-Korea gelieerde groep die cybersecuritybedrijf Mandiant in verband bracht met de Radiant Capital-hack van 2024.
Drift zei dat de personen die medewerkers persoonlijk ontmoetten geen Noord-Koreaanse staatsburgers waren, en merkte op dat met de DVK (Democratische Volksrepubliek Korea) gelieerde actoren vaak afhankelijk zijn van externe intermediairs voor "persoonlijke interactie".
Onchain geldstromen en overlappende persona's wijzen op met de DVK gelieerde actoren, volgens incidentbestrijders SEAL 911, hoewel Mandiant de attributie nog moet bevestigen in afwachting van forensisch onderzoek, merkte het platform op.
Beveiligingsonderzoeker @tayvano_, een van de experts die Drift dankte voor hulp bij het identificeren van de kwaadwillende actoren, suggereerde dat de blootstelling veel verder reikt dan dit incident.
In een tweet noemde de expert tientallen DeFi-protocollen, waarin hij beweerde dat "DVK IT-medewerkers de protocollen hebben gebouwd die je kent en waar je van houdt, helemaal terug naar de DeFi-zomer".
"Drift en Bybit tonen hetzelfde patroon — ondertekenaars werden niet direct op protocolniveau gecompromitteerd, ze werden misleid tot het goedkeuren van kwaadaardige transacties", merkte Pearl op. "Het kernprobleem is niet het aantal ondertekenaars, maar het gebrek aan begrip van de transactie-intentie."
Hij zei dat multisignature wallets, hoewel een verbetering ten opzichte van controle met één sleutel, nu een vals gevoel van veiligheid creëren, wat "een paradox" introduceert waarbij gedeelde verantwoordelijkheid de controle over ondertekenaars vermindert.
“Beveiliging moet verschuiven naar pre-transactievalidatie op blockchain-niveau, waar transacties onafhankelijk worden gesimuleerd en geverifieerd vóór uitvoering,” zei Pearl, eraan toevoegend dat zodra aanvallers controleren wat gebruikers zien, de enige effectieve verdediging is om te valideren wat een transactie daadwerkelijk doet, ongeacht de interface.
Over ontwikkelaarstools als aanvalsoppervlak zei Lavid dat de aanname radicaal moet veranderen.
"Je moet ervan uitgaan dat het eindpunt gecompromitteerd is," vertelde hij aan Decrypt, wijzend op IDE's, code-repositories, mobiele apps en ondertekeningsomgevingen als steeds vaker voorkomende toegangspunten.
“Als deze fundamentele tools kwetsbaar zijn, kan alles wat aan de gebruiker wordt getoond – inclusief transacties – worden gemanipuleerd,” zei de expert, opmerkend dat dit “traditionele beveiligingsaannames fundamenteel doorbreekt,” waardoor teams de “interface, het apparaat of zelfs de ondertekeningsworkflow” niet meer kunnen vertrouwen.
