Zdecentralizowana giełda Drift Protocol, oparta na Solanie, poinformowała w niedzielę, że atak, w wyniku którego z platformy wyciekło około 285 milionów dolarów, był strukturyzowaną, sześciomiesięczną operacją wywiadowczą przeprowadzoną przez grupę zagrożeń powiązaną z państwem północnokoreańskim.
Atakujący wykorzystali sfałszowane tożsamości zawodowe, osobiste spotkania konferencyjne i złośliwe narzędzia dla programistów, aby skompromitować współpracowników przed przeprowadzeniem drenażu, jak podał protokół w szczegółowej aktualizacji incydentu.
https://t.co/qYBMCup9i6
— Drift (@DriftProtocol) April 5, 2026
„Zespoły kryptowalutowe mierzą się obecnie z przeciwnikami, którzy działają bardziej jak jednostki wywiadowcze niż hakerzy, a większość organizacji nie jest strukturalnie przygotowana na ten poziom zagrożenia” – powiedział Michael Pearl, wiceprezes ds. strategii w firmie Cyvers zajmującej się bezpieczeństwem blockchain, w rozmowie z Decrypt.
Drift poinformował, że grupa po raz pierwszy skontaktowała się ze współpracownikami na dużej konferencji kryptowalutowej zeszłej jesieni, przedstawiając się jako ilościowa firma handlowa dążąca do integracji z protokołem.
Przez wiele miesięcy grupa budowała zaufanie poprzez osobiste spotkania, koordynację na Telegramie, wdrożyła Ecosystem Vault na Drift i dokonała wpłaty miliona dolarów własnego kapitału do skarbca, tylko po to, by zniknąć, z czatami i złośliwym oprogramowaniem „całkowicie usuniętymi” po uderzeniu exploita.
DEX stwierdził, że włamanie mogło obejmować złośliwe repozytorium kodu, fałszywą aplikację TestFlight oraz lukę w VSCode/Cursor, która umożliwiała ciche wykonywanie kodu bez interakcji użytkownika.
Drift z „umiarkowanie wysokim zaufaniem” przypisał atak grupie UNC4736, znanej również jako AppleJeus lub Citrine Sleet – tej samej grupie powiązanej z państwem północnokoreańskim, którą firma zajmująca się cyberbezpieczeństwem Mandiant powiązała z atakiem na Radiant Capital w 2024 roku.
Drift poinformował, że osoby, które spotkały się osobiście ze współpracownikami, nie były obywatelami Korei Północnej, zauważając, że podmioty powiązane z KRLD często polegają na pośrednikach zewnętrznych w przypadku „bezpośrednich kontaktów”.
Przepływy funduszy onchain i nakładające się na siebie persony wskazują na podmioty powiązane z KRLD, według specjalistów ds. reagowania na incydenty z SEAL 911, chociaż Mandiant musi jeszcze potwierdzić atrybucję w oczekiwaniu na wyniki analizy kryminalistycznej, jak zauważyła platforma.
Badacz bezpieczeństwa @tayvano_, jeden z ekspertów, których Drift uznał za pomoc w identyfikacji złośliwych aktorów, zasugerował, że zagrożenie wykracza daleko poza ten incydent.
W tweecie ekspert wymienił dziesiątki protokołów DeFi, twierdząc, że „pracownicy IT z KRLD zbudowali protokoły, które znacie i kochacie, już od czasu defi summer”.
„Drift i Bybit podkreślają ten sam schemat — sygnatariusze nie zostali bezpośrednio skompromitowani na poziomie protokołu, zostali zwabieni do zatwierdzania złośliwych transakcji” – zauważył Pearl. „Głównym problemem nie jest liczba sygnatariuszy, ale brak zrozumienia intencji transakcji”.
Powiedział, że portfele wielopodpisowe, choć są ulepszeniem w stosunku do kontroli jednym kluczem, teraz tworzą fałszywe poczucie bezpieczeństwa, wprowadzając „paradoks”, w którym wspólna odpowiedzialność obniża kontrolę wśród sygnatariuszy.
„Bezpieczeństwo musi przejść na walidację przed transakcją na poziomie blockchain, gdzie transakcje są niezależnie symulowane i weryfikowane przed wykonaniem” – powiedział Pearl, dodając, że gdy atakujący kontrolują to, co widzą użytkownicy, jedyną skuteczną obroną jest walidacja tego, co transakcja faktycznie robi, niezależnie od interfejsu.
Odnośnie narzędzi deweloperskich jako powierzchni ataku, Lavid powiedział, że założenie musi zmienić się od podstaw.
„Musisz założyć, że punkt końcowy jest skompromitowany” – powiedział Decrypt, wskazując na IDE, repozytoria kodu, aplikacje mobilne i środowiska sygnatariuszy jako coraz częstsze punkty wejścia.
„Jeśli te podstawowe narzędzia są podatne na ataki, wszystko, co jest wyświetlane użytkownikowi — w tym transakcje — może zostać zmanipulowane” – powiedział ekspert, zauważając, że to „fundamentalnie łamie tradycyjne założenia bezpieczeństwa”, sprawiając, że zespoły nie są w stanie ufać „interfejsowi, urządzeniu, ani nawet przepływowi podpisywania”.
