Drift Protocol heeft details bekendgemaakt over de exploit van 1 april 2026, waarin een gecoördineerde aanval wordt beschreven die over zes maanden is opgebouwd. De gedecentraliseerde exchange zei dat de inbreuk volgde op persoonlijke ontmoetingen, technische betrokkenheid en distributie van kwaadaardige software. Het incident, dat plaatsvond op 1 april, betrof gecompromitteerde bijdragers en resulteerde in geschatte verliezen van bijna $280 miljoen.
Drift Protocol Traceert Langdurige Social Engineering
In een X-artikel zei Drift Protocol dat de aanval begon rond oktober 2025 tijdens een grote cryptoconferentie. Volgens Drift Protocol benaderden individuen die zich voordeden als een kwantitatief handelsbedrijf bijdragers die integratie zochten.
De interactie stopte daar echter niet. De groep bleef zes maanden lang bijdragers betrekken tijdens meerdere wereldwijde brancheconferenties. Ze presenteerden geverifieerde professionele achtergronden en toonden technische vaardigheid tijdens herhaalde persoonlijke ontmoetingen.
Ook vormden ze een Telegram-groep na het eerste contact. In de loop van de tijd bespraken ze handelsstrategieën en potentiële vault-integraties met bijdragers. Deze discussies volgden standaard onboarding-patronen voor handelsbedrijven die met Drift Protocol interacteerden.
Van december 2025 tot januari 2026 heeft de groep een ecosysteem-vault geïntegreerd. Ze dienden strategiedetails in en stortten meer dan $1 miljoen in het protocol. Ondertussen voerden ze werksessies uit en stelden gedetailleerde productvragen.
Compromis Gekoppeld aan Gedeelde Tools en Apparaattoegang
Naarmate de integratiegesprekken vorderden in februari en maart 2026, werd het vertrouwen dieper. Bijdragers ontmoetten de groep opnieuw tijdens branche-evenementen, waarbij bestaande relaties werden versterkt. Drift Protocol identificeerde deze interacties echter later als de waarschijnlijke inbraak-vector.
Volgens Drift Protocol deelden aanvallers kwaadaardige repositories en applicaties tijdens de samenwerking. Dit staat in scherp contrast met ZachXBT's oproep aan Circle over de $280M exploit-vertraging. Een bijdrager zou naar verluidt een code-repository hebben gekloond die werd gepresenteerd als een frontend deployment-tool.
Bron: Arkham
Een andere bijdrager downloadde een TestFlight-applicatie die werd omschreven als een wallet-product. Deze acties stelden apparaten mogelijk bloot aan compromittering. Voor de repository-vector wees Drift Protocol op een bekende kwetsbaarheid in VSCode en Cursor.
Tussen december 2025 en februari 2026 kon het openen van bestanden leiden tot stille code-uitvoering zonder waarschuwingen. Na de exploit voerde Drift Protocol forensische beoordelingen uit op getroffen apparaten en accounts. Opvallend genoeg werden communicatiekanalen van aanvallers en malware onmiddellijk na uitvoering gewist.
Attributie en Doorlopende Onderzoeksinspanningen
Drift Protocol zei dat het alle protocolfuncties bevroor na het detecteren van de exploit. Het verwijderde ook gecompromitteerde wallets uit zijn multisig-structuur en markeerde wallets van aanvallers bij exchanges en bridges. Het bedrijf schakelde Mandiant in om het onderzoek te ondersteunen. Ondertussen droeg SEALs 911 analyses bij die wezen op een bekende dreigingsgroep.
Met gemiddeld tot hoog vertrouwen koppelde de gedecentraliseerde exchange de aanval aan actoren achter de Radiant Capital-hack van oktober 2024. Die operatie werd eerder toegeschreven aan UNC4736, ook bekend als AppleJeus of Citrine Sleet.
Drift Protocol verduidelijkte dat individuen die betrokken waren bij face-to-face ontmoetingen geen Noord-Koreaanse staatsburgers waren. In plaats daarvan merkte het op dat dergelijke operaties vaak derde partij-tussenpersonen gebruiken voor persoonlijke betrokkenheid.
Volgens ZachXBT weerspiegelt de activiteit bekende DPRK-gekoppelde cyberoperaties die vaak worden gegroepeerd onder de Lazarus-paraplu. Hij legde uit dat Lazarus verwijst naar een cluster van hackingeenheden, terwijl DPRK staatsaffiliatie achter die operaties aangeeft. Hij merkte op dat dergelijke groepen gelaagde identiteiten, tussenpersonen en langdurige toegangsopbouw gebruiken voordat ze aanvallen uitvoeren.
Bron: ZachXBT
ZachXBT voegde eraan toe dat on-chain geldstromen gekoppeld aan de exploit overlappingen vertonen met wallets die gekoppeld zijn aan eerdere DPRK-geassocieerde incidenten, waaronder Radiant Capital. Hij benadrukte ook operationele overeenkomsten, waaronder geënsceneerde interacties, malware-levering via vertrouwde kanalen en snelle opruiming na uitvoering.
Drift Protocol benadrukte dat alle multi-sig ondertekenaars cold wallets gebruikten tijdens het incident. Het blijft samenwerken met wetshandhaving en forensische partners om het onderzoek af te ronden.
Bron: https://coingape.com/drift-hack-update-protocol-shares-latest-security-update-on-april-1-exploit/
