Drift Protocol (DRIFT) offentliggjorde en detaljeret hændelsesopdatering den 5. april og afslørede, at det $285 millioner store angreb den 1. april var resultatet af en seks måneders efterretningsoperation udført af statsstøttede aktører fra Nordkorea.
Afsløringen beskriver en form for social engineering, der rækker langt udover almindelige phishing-forsøg eller rekrutteringssvindel, med fysiske møder, investering af rigtige midler og måneders opbygning af tillid.
En falsk handelsfirma, der satsede på det lange spil
Ifølge Drift tog en gruppe, der udgav sig for at være et “quantitative trading”-firma, først kontakt til bidragsydere på en større kryptokonference i efteråret 2025.
I de følgende måneder dukkede de samme personer op til flere arrangementer i forskellige lande, holdt arbejdsmøder og havde løbende Telegram-samtaler om vault-integrationer.
Læs vores nyheder på X og få det seneste først
Mellem december 2025 og januar 2026 onboardede gruppen en Ecosystem Vault på Drift, indskød over $1 million og deltog i detaljerede produktsamtaler.
I marts havde Drift-bidragyderne mødt disse personer fysisk flere gange.
”…de farligste hackere ligner slet ikke hackere,” kommenterede krypto-udvikler Gautham.
Også eksperter i web-sikkerhed finder det bekymrende. Forsker Tay delte, at hun først troede, det var traditionel rekrutteringssvindel, men fandt operationens omfang langt mere skræmmende.
Hvordan enhederne blev kompromitteret
Drift identificerede tre sandsynlige angrebsveje:
- En bidragsyder klonede et kodebibliotek, som gruppen havde delt til en vault frontend.
- En anden downloadede en TestFlight-app, der blev præsenteret som en wallet-løsning.
- For kodebiblioteket pegede Drift på en kendt sårbarhed i VSCode og Cursor, som sikkerhedsforskere havde advaret om siden slutningen af 2025.
Den fejl gjorde det muligt for vilkårlig kode at køre i det øjeblik, en fil eller mappe blev åbnet i editoren – helt uden brugerens handling.
Efter angrebet den 1. april slettede gerningsmændene alle Telegram-chats og skadelig software. Drift har derefter frosset de resterende protokol-funktioner og fjernet kompromitterede wallets fra multisig.
SEALS 911-teamet vurderede med middelhøj sikkerhed, at de samme trusselsaktører stod bag Radiant Capital-angrebet i oktober 2024, som Mandiant tilskrev UNC4736.
Flow og overlap af on-chain-midler, samt ensartethed i udførelsen, understøtter forbindelsen mellem de to angreb.
Branchen opfordrer til en værdipapir-reset
Armani Ferrante, en kendt Solana-udvikler, opfordrede alle crypto-teams til at sætte vækstdagsordenen på pause og revidere hele deres sikkerhedsopsætning.
“Alle teams i krypto bør bruge det som en anledning til at sætte farten ned og fokusere på sikkerhed. Hvis muligt, dediker et helt hold til det… Du kan ikke vokse, hvis du bliver hacket,” sagde Ferrante.
Drift bemærkede, at de personer, der mødte fysisk op, ikke var nordkoreanske statsborgere. Trusselsaktører fra DPRK på dette niveau benytter ofte tredjeparter til fysiske møder.
Mandiant, som Drift har sat til at foretage device-forensics, har endnu ikke endeligt tilskrevet angrebet nogen.
Afsløringen fungerer som en advarsel til hele branchen. Drift opfordrede teams til at tjekke adgangskontroller, behandle enhver enhed med adgang til multisig som et potentielt mål og kontakte SEAL 911 ved mistanke om lignende angreb.
