Drift Protocol (DRIFT) publiceerde op 5 april een gedetailleerde incidentupdate, waarin werd onthuld dat de exploit van $285 miljoen op 1 april het resultaat was van een zes maanden durende inlichtingenoperatie die wordt toegeschreven aan door Noord-Korea gesteunde actoren.
De openbaarmaking beschrijft een niveau van social engineering dat veel verder gaat dan typische phishing- of recruiterzwendel, inclusief persoonlijke ontmoetingen, daadwerkelijke kapitaalinzet en maandenlang vertrouwen opbouwen.
Een Nep Handelsfirma die het Lange Spel Speelde
Volgens Drift benaderde een groep die zich voordeed als een kwantitatieve handelsfirma voor het eerst bijdragers op een grote cryptoconferentie in het najaar van 2025.
In de daaropvolgende maanden verschenen deze personen op meerdere evenementen in verschillende landen, hielden werksessies en onderhielden voortdurende Telegram-gesprekken over vault-integraties.
Volg ons op X om het laatste nieuws te ontvangen zodra het gebeurt
Tussen december 2025 en januari 2026 heeft de groep een Ecosystem Vault op Drift geactiveerd, meer dan $1 miljoen aan kapitaal gestort en deelgenomen aan gedetailleerde productbesprekingen.
Tegen maart hadden Drift-bijdragers deze personen meerdere keren persoonlijk ontmoet.
Zelfs websecurityexperts vinden dit zorgwekkend, waarbij onderzoeker Tay deelde dat ze aanvankelijk een typische recruiterzwendel verwachtte, maar de diepgang van de operatie veel alarmerender vond.
Hoe de Apparaten Werden Gecompromitteerd
Drift identificeerde drie waarschijnlijke aanvalsvectoren:
- Eén bijdrager kloonde een code repository die de groep deelde voor een vault frontend.
- Een tweede downloadde een TestFlight-applicatie die werd gepresenteerd als een walletproduct.
- Voor de repository-vector wees Drift op een bekende VSCode- en Cursor-kwetsbaarheid die beveiligingsonderzoekers sinds eind 2025 hadden gesignaleerd.
Die fout maakte het mogelijk dat willekeurige code stil werd uitgevoerd op het moment dat een bestand of map in de editor werd geopend, zonder dat gebruikersinteractie vereist was.
Na de drain op 1 april verwijderden de aanvallers alle Telegram-chats en kwaadaardige software. Drift heeft sindsdien de resterende protocolfuncties bevroren en gecompromitteerde wallets uit de multisig verwijderd.
Het SEALS 911-team beoordeelde met gemiddeld tot hoge betrouwbaarheid dat dezelfde dreigingsactoren de Radiant Capital hack van oktober 2024 hebben uitgevoerd, die Mandiant toeschreef aan UNC4736.
On-chain geldstromen en operationele overlappingen tussen de twee campagnes ondersteunen die connectie.
Industrie Roept op tot een Security Reset
Armani Ferrante, een prominente Solana-ontwikkelaar, riep elk cryptoteam op om groei-inspanningen te pauzeren en hun volledige securitystack te auditen.
Drift merkte op dat de personen die persoonlijk verschenen geen Noord-Koreaanse staatsburgers waren. DPRK-dreigingsactoren op dit niveau staan erom bekend tussenpersonen in te zetten voor persoonlijke contacten.
Mandiant, dat Drift heeft ingeschakeld voor apparaatforensics, heeft de exploit nog niet formeel toegeschreven.
De openbaarmaking dient als waarschuwing voor het bredere ecosysteem. Drift drong er bij teams op aan om toegangscontroles te auditen, elk apparaat dat een multisig aanraakt als een potentieel doelwit te behandelen en contact op te nemen met SEAL 911 als ze soortgelijke targeting vermoeden.
Het bericht Drift Protocol's $285 Miljoen Overval Begon met een Handdruk en 6 Maanden Vertrouwen verscheen eerst op BeInCrypto.
Bron: https://beincrypto.com/drift-north-korea-spy-operation-hack/
