Eksploitasi DeFi terbesar tahun ini dimulai dari acara networking dengan minuman gratis — Drift Protocol mengungkap pada 5 Apr. bahwa Apr. 1 hack adalah hasil dari operasi intelijen selama enam bulan yang kini dengan tingkat keyakinan menengah-tinggi dikaitkan dengan aktor yang berafiliasi dengan negara Korea Utara.
Rincian Serangan Drift Protocol
Infiltrasi dimulai pada musim gugur 2025, ketika sekelompok orang yang menyamar sebagai firma perdagangan kuantitatif mendekati kontributor Drift di sebuah konferensi kripto besar. Dalam beberapa bulan berikutnya, mereka bertemu anggota tim tatap muka di berbagai acara industri di beberapa negara.
Mereka menyetor lebih dari $1 juta modal mereka sendiri ke dalam Ecosystem Vault.
Mereka mengajukan pertanyaan produk yang sangat rinci di berbagai sesi kerja, membangun apa yang tampak seperti operasi perdagangan sah di dalam infrastruktur Drift.
Antara Desember 2025 dan Maret 2026, kelompok tersebut memperdalam hubungan melalui integrasi vault dan pertemuan tatap muka lanjutan di konferensi. Para kontributor tidak punya alasan untuk curiga — pada saat eksploitasi terjadi, hubungan itu sudah hampir setengah tahun dan mencakup latar belakang profesional yang terverifikasi, percakapan teknis yang substansial, dan kehadiran on-chain yang berfungsi.
Ketika serangan terjadi pada 1 Apr., chat Telegram kelompok itu dan perangkat lunak berbahaya mereka telah dibersihkan. Tinjauan forensik mengidentifikasi dua vektor intrusi yang mungkin: repositori kode berbahaya yang dibagikan dengan dalih menerapkan frontend vault, dan aplikasi TestFlight yang dipresentasikan sebagai produk dompet kelompok tersebut.
Kerentanan yang sudah diketahui di editor VSCode dan Cursor, yang secara aktif ditandai oleh komunitas keamanan dari Desember 2025 hingga Februari 2026, mungkin memungkinkan eksekusi kode secara senyap hanya dengan membuka sebuah file.
Semua fungsi protokol yang tersisa telah dibekukan dan dompet yang dikompromikan telah dihapus dari multisig. Mandiant telah dilibatkan untuk investigasi, dan dompet penyerang telah diberi tanda di bursa dan operator jembatan.
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Aktor Ancaman Korea Utara Diduga Terlibat
Investigasi yang dilakukan tim SEALS 911 menilai dengan tingkat keyakinan menengah-tinggi bahwa operasi ini dilakukan oleh aktor ancaman yang sama di balik peretasan Radiant Capital pada Oktober 2024.
Mandiant sebelumnya mengaitkan serangan itu dengan UNC4736, kelompok yang berafiliasi dengan negara Korea Utara yang juga dilacak sebagai AppleJeus atau Citrine Sleet.
Koneksi tersebut didasarkan pada bukti on-chain dan pola operasional.
Aliran dana yang digunakan untuk menyiapkan dan menguji operasi Drift dapat ditelusuri kembali ke penyerang Radiant, dan persona yang digunakan sepanjang kampanye tumpang-tindih dengan aktivitas yang diketahui terkait DPRK. Perlu dicatat, individu yang muncul secara langsung bukan warga negara Korea Utara — aktor ancaman DPRK di tingkat ini dikenal menggunakan perantara pihak ketiga untuk pertemuan tatap muka.
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline