Drift Protocol (DRIFT) publicerade en detaljerad incidentuppdatering den 5 april. Den visade att exploiten på 285 miljoner USD den 1 april var resultatet av en sex månader lång underrättelseoperation. Drift menar att nordkoreanska statsstödda aktörer låg bakom attacken.
Drift beskrev en nivå av social ingenjörskonst som går långt utöver vanlig nätfiske eller bluffar från påhittade rekryterare. Operationen inkluderade möten ansikte mot ansikte, faktisk kapitalanvändning och flera månaders tillitsskapande.
Ett falskt handelsföretag som satsade långsiktigt
Enligt Drift närmade sig en grupp, som låtsades vara ett kvantitativt handelsföretag, några bidragsgivare på en stor kryptokonferens hösten 2025.
De följande månaderna deltog dessa personer på flera evenemang i olika länder, höll arbetsmöten och hade ständiga Telegram-samtal om valvintegreringar.
Följ oss på X för att få de senaste nyheterna direkt
Mellan december 2025 och januari 2026 startade gruppen ett ekosystemvalv på Drift, satte in mer än 1 miljon USD i kapital och deltog i detaljerade produktdiskussioner.
I mars träffade Drift-bidragsgivare dessa personer flera gånger ansikte mot ansikte.
”… de farligaste hackarna ser inte ut som hackare,” kommenterade kryptoutvecklaren Gautham.
Även experter på webbsäkerhet tycker det är oroande. Forskaren Tay delade att hon först trodde det rörde sig om en vanlig rekryterarfälla men insåg snabbt att operationen var mycket allvarligare.
Hur enheterna blev hackade
Drift identifierade tre sannolika attackvägar:
- En bidragsgivare klonade ett kodförråd som gruppen gav för en valvfrontend.
- En annan laddade ner en TestFlight-app som påstods vara en plånboksprodukt.
- För kodförrådet pekade Drift på en känd sårbarhet i VSCode och Cursor som säkerhetsforskare varnat för sedan slutet av 2025.
Den buggen lät godtycklig kod köra tyst så fort en fil eller mapp öppnades i editorn, utan att användaren behövde göra något.
Efter dräneringen den 1 april raderade angriparna alla Telegram-chattar och den skadliga programvaran. Drift har nu fryst kvarvarande protokollfunktioner och tagit bort komprometterade plånböcker från multisignaturen.
SEALS 911-teamet bedömde med ganska hög säkerhet att samma hotaktörer låg bakom Radiant Capital-attacken i oktober 2024, som Mandiant kopplade till UNC4736.
Transaktioner på blockkedjan och liknande arbetsmetoder mellan kampanjerna stärker kopplingen.
Branschen vill ha en ny start för säkerheten
Armani Ferrante, en känd Solana-utvecklare, uppmanade alla kryptoteam att pausa tillväxt och granska hela sin säkerhet.
”Alla team inom krypto borde se detta som ett tillfälle att sakta ner och fokusera på säkerhet. Om det går, avsätt ett helt team… du kan inte växa om du utsätts för attacker,” sa Ferrante.
Drift nämnde att personerna som dök upp fysiskt inte var nordkoreanska medborgare. Nordkoreanska aktörer på denna nivå använder ofta tredje parter för personliga möten.
Mandiant, som Drift anlitat för forensisk analys av enheter, har ännu inte formellt pekat ut någon skyldig.
Uppdateringen är en varning till hela ekosystemet. Drift uppmanar team att granska åtkomstkontroller, se varje enhet som använder en multisignatur som möjlig attackyta och kontakta SEALS 911 vid misstänkt riktad attack.
