올해 최대 규모 디파이(DeFi) 해킹은 무료 음료가 제공된 네트워킹 행사에서 시작됐다. Drift Protocol은 4월 5일, Apr. 1 hack이 6개월에 걸친 정보 수집 작전의 결과였으며, 이 작전이 북한 국가지원 해커들과 중~높은 수준의 신뢰도로 연관돼 있다고 공개했다.
Drift 프로토콜 공격 세부 내용
침투는 2025년 가을, 양적 트레이딩 회사로 위장한 일행이 한 대형 크립토 컨퍼런스에서 Drift 기여자들에게 접근하면서 began됐다. 이후 수개월에 걸쳐, 이들은 여러 국가에서 열린 다양한 업계 행사에서 팀 구성원들을 직접 만나왔다.
이들은 에코시스템 볼트(Ecosystem Vault)에 자체 자본 100만 달러 이상을 예치했다.
그들은 여러 차례의 워킹 세션 동안 상세한 상품 관련 질문을 던지며, Drift 인프라 내부에 합법적인 트레이딩 운영을 구축하는 것처럼 보이게 했다.
2025년 12월부터 2026년 3월 사이, 이 그룹은 볼트 연동과 컨퍼런스 현장 미팅을 지속하며 관계를 더욱 공고히 했다. 기여자들은 의심할 이유가 없었다 — 해킹이 발생했을 때 이 관계는 거의 반년 가까이 이어져 왔고, 검증된 직업 이력, 실질적인 기술 논의, 그리고 온체인 상에서 실제로 작동하는 존재감까지 갖추고 있었다.
4월 1일 공격이 실행됐을 때, 이들의 텔레그램 채팅과 악성 소프트웨어는 모두 지워진 상태였다. 포렌식 분석 결과, 두 가지 유력한 침입 경로가 확인됐다. 하나는 볼트 프론트엔드 배포를 명목으로 공유된 악성 코드 저장소였고, 다른 하나는 이 그룹의 지갑 제품으로 소개된 TestFlight 애플리케이션이었다.
2025년 12월부터 2026년 2월까지 보안 커뮤니티에서 적극적으로 경고해 온 VSCode와 Cursor 에디터의 알려진 취약점이, 단순히 파일을 여는 것만으로도 조용한 코드 실행을 가능하게 했을 수 있다.
현재 프로토콜의 남아 있는 기능은 모두 동결됐고, 손상된 지갑은 멀티시그에서 제거됐다. Mandiant가 조사를 위해 투입됐으며, 공격자 지갑은 거래소와 브리지 운영사 전반에 걸쳐 플래그 처리됐다.
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
북한 연계 위협 행위자들 의심
SEALS 911 팀이 수행한 조사에 따르면, 이번 작전은 2024년 10월 Radiant Capital 해킹을 일으킨 것과 동일한 위협 행위자들이 수행했을 가능성이 중~높은 수준으로 평가됐다.
Mandiant는 앞선 공격을 UNC4736으로 명명된 북한 국가지원 그룹의 소행으로 귀속한 바 있으며, 이 그룹은 AppleJeus 또는 Citrine Sleet라는 이름으로도 추적되고 있다.
이번 연결 고리는 온체인 증거와 작전 패턴 모두에 기반한다.
Drift 작전을 준비하고 시험하는 데 사용된 자금 흐름은 Radiant 공격자들로 거슬러 올라가며, 캠페인 전반에 동원된 여러 페르소나는 기존에 알려진 북한(DPRK) 연계 활동과 중첩된다. 특히, 현장에 직접 모습을 드러낸 인물들은 북한 국적이 아니었는데, 이 수준의 DPRK 위협 행위자들은 대면 접촉을 위해 제3자 중개인을 활용하는 것으로 알려져 있다.
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline