Eksploit DeFi terbesar tahun ini dimulai dari sebuah acara networking dengan minuman gratis — Drift Protocol mengungkap pada 5 Apr. bahwa Apr. 1 hack tersebut adalah hasil operasi intelijen enam bulan yang kini dikaitkan dengan tingkat keyakinan menengah-tinggi kepada aktor berafiliasi negara Korea Utara.
Rincian Serangan Drift Protocol
Infiltrasi dimulai pada musim gugur 2025, ketika sekelompok orang yang menyamar sebagai firma perdagangan kuantitatif mendekati kontributor Drift di sebuah konferensi kripto besar. Selama bulan-bulan berikutnya, mereka bertemu anggota tim secara langsung di berbagai acara industri di beberapa negara.
Mereka menyetor lebih dari $1 juta dana mereka sendiri ke dalam sebuah Ecosystem Vault.
Mereka mengajukan pertanyaan produk secara rinci di banyak sesi kerja, membangun apa yang tampak seperti operasi perdagangan sah di dalam infrastruktur Drift.
Antara Desember 2025 dan Maret 2026, kelompok tersebut memperdalam hubungan melalui integrasi vault dan pertemuan tatap muka lanjutan di konferensi. Para kontributor tidak memiliki alasan untuk curiga — pada saat eksploit terjadi, hubungan itu sudah hampir setengah tahun dan mencakup latar belakang profesional yang terverifikasi, percakapan teknis substantif, dan kehadiran on-chain yang berfungsi.
Saat serangan terjadi pada 1 Apr., chat Telegram kelompok itu dan perangkat lunak berbahaya mereka sudah dibersihkan. Tinjauan forensik mengidentifikasi dua vektor intrusi yang mungkin: repositori kode berbahaya yang dibagikan dengan dalih melakukan deployment frontend vault, dan aplikasi TestFlight yang disajikan sebagai produk wallet kelompok tersebut.
Kerentanan yang sudah diketahui di editor VSCode dan Cursor, yang secara aktif diberi peringatan oleh komunitas keamanan dari Desember 2025 hingga Februari 2026, mungkin memungkinkan eksekusi kode secara senyap hanya dengan membuka sebuah file.
Semua fungsi protokol yang tersisa telah dibekukan dan wallet yang dikompromikan telah dihapus dari multisig. Mandiant telah dilibatkan untuk investigasi, dan wallet milik penyerang telah ditandai di berbagai bursa dan operator jembatan.
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Aktor Ancaman Korea Utara Diduga Terlibat
Investigasi yang dilakukan tim SEALS 911 menilai dengan keyakinan menengah-tinggi bahwa operasi tersebut dijalankan oleh aktor ancaman yang sama di balik peretasan Radiant Capital Oktober 2024.
Mandiant sebelumnya mengaitkan serangan itu dengan UNC4736, sebuah grup berafiliasi negara Korea Utara yang juga dilacak sebagai AppleJeus atau Citrine Sleet.
Keterkaitannya didasarkan pada bukti on-chain dan pola operasional.
Aliran dana yang digunakan untuk menyiapkan dan menguji operasi Drift dapat ditelusuri kembali ke para penyerang Radiant, dan persona yang digunakan di seluruh kampanye tumpang tindih dengan aktivitas yang diketahui terkait DPRK. Perlu dicatat, individu yang muncul secara langsung bukanlah warga negara Korea Utara — aktor ancaman DPRK di tingkat ini diketahui menggunakan perantara pihak ketiga untuk interaksi tatap muka.
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline