今年最大のDeFiハックは、フリードリンク付きのネットワーキングイベントから始まった。Drift Protocolは4月5日、Apr. 1 hackが、現在、中〜高い確度で北朝鮮政府系アクターと結びつけられている6カ月にわたる諜報作戦の結果であると公表した。
Drift Protocol攻撃の詳細
侵入は2025年秋にbeganした。量的トレーディング企業を装ったグループが、大規模な暗号資産カンファレンスでDriftのコントリビューターに接触したことが発端だった。その後数カ月にわたり、彼らは複数の国で開かれた業界イベントでチームメンバーと対面し続けた。
彼らはエコシステム・ボールトに自らの資本を100万ドル以上預け入れた。
彼らは複数回のワーキングセッションで詳細なプロダクト質問を行い、Driftのインフラ内部に一見正当なトレーディング事業を構築しているように見えた。
2025年12月から2026年3月にかけて、このグループはボールト連携やカンファレンスでの対面ミーティングを通じて関係をさらに深めた。コントリビューター側には疑う理由がなく、攻撃時点で関係はほぼ半年に及び、職務経歴の検証、実のある技術的な議論、そして機能するオンチェーンでのプレゼンスが含まれていた。
4月1日に攻撃が行われた際には、グループのTelegramチャットやマルウェアはきれいに消去されていた。フォレンジック調査により、2つの侵入経路が有力視されている。ひとつは、ボールトのフロントエンドをデプロイするという名目で共有された悪意あるコードリポジトリ、もうひとつは同グループのウォレット製品として提示されたTestFlightアプリだ。
VSCodeおよびCursorエディタにおける既知の脆弱性は、2025年12月から2026年2月にかけてセキュリティコミュニティによって積極的に警告されており、ファイルを開くだけでサイレントなコード実行を可能にしていた可能性がある。
残るプロトコル機能はすべて凍結され、侵害されたウォレットはマルチシグから除外された。調査にはMandiantが起用されており、攻撃者のウォレットは取引所およびブリッジオペレーター全体でフラグ付けされている。
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
北朝鮮の脅威アクターが関与か
SEALS 911チームによる調査は、中〜高い確度で、この作戦が2024年10月のRadiant Capitalハックの犯行グループと同一であると評価している。
Mandiantは以前、この攻撃を、AppleJeusまたはCitrine Sleetとしても追跡されている北朝鮮政府系グループUNC4736に帰属させていた。
この関連性は、オンチェーン証拠と作戦パターンの両方に基づいている。
Drift作戦の準備およびテストに使われた資金フローはRadiant攻撃者へとさかのぼり、キャンペーン全体で展開されたペルソナも既知のDPRK関連活動と重なっている。特筆すべきは、実際に対面で現れた人物は北朝鮮籍ではなかった点であり、このレベルのDPRK脅威アクターは、対面のやりとりに第三者の仲介者を用いることで知られている。
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline