올해 최대 디파이(DeFi) 익스플로잇은 무료 음료가 제공되던 네트워킹 행사에서 시작됐다. 드리프트 프로토콜(Drift Protocol) 은 4월 5일, 4월 1일 해킹이 이제 중~상 수준의 신뢰도로 북한 정부 연계 해커로 추정되는 세력이 6개월간 펼친 정보 수집 작전의 결과였다고 밝혔다.
드리프트 프로토콜 공격 세부 내용
침투는 2025년 가을, 한 정량적 트레이딩 회사인 척한 그룹이 대형 암호화폐 컨퍼런스에서 드리프트 기여자들에게 접근하면서 시작됐다. 이후 수개월에 걸쳐 이들은 여러 국가에서 열린 복수의 업계 행사에서 팀원들을 대면으로 만났다.
이들은 자체 자본 100만 달러 이상을 에코시스템 볼트(Ecosystem Vault)에 예치했다.
그들은 여러 차례의 작업 세션에서 세부적인 제품 질문을 던지며, 드리프트 인프라 내부에 겉보기에 합법적인 트레이딩 운영 조직을 구축해 나갔다.
2025년 12월부터 2026년 3월 사이, 이 그룹은 볼트 통합을 통해 관계를 더욱 공고히 했고, 컨퍼런스에서의 대면 미팅도 지속했다. 기여자들이 의심할 만한 정황은 없었다. 익스플로잇이 발생했을 당시 양측 관계는 이미 약 반년 가까이 이어지고 있었고, 검증된 직업 이력, 수준 높은 기술적 대화, 온체인에서 실제로 작동하는 존재감까지 모두 갖춘 상태였다.
4월 1일 공격이 개시됐을 때, 이 그룹의 텔레그램 채팅과 악성 소프트웨어는 모두 말끔히 삭제된 상태였다. 포렌식 분석 결과, 두 가지 유력한 침투 경로가 식별됐다. 하나는 볼트 프론트엔드를 배포하기 위한 코드라는 명목으로 공유된 악성 코드 저장소였고, 다른 하나는 이 그룹의 지갑 제품이라며 제시된 TestFlight 애플리케이션이었다.
2025년 12월부터 2026년 2월까지 보안 커뮤니티에서 적극적으로 경고했던 VSCode와 Cursor 에디터의 알려진 취약점이, 단지 파일을 열기만 해도 조용한 코드 실행을 가능하게 했을 수 있다.
현재 프로토콜의 남은 모든 기능은 동결됐고, 손상된 지갑은 멀티시그에서 제거됐다. 맨디언트(Mandiant) 가 조사를 위해 투입됐으며, 공격자 지갑은 거래소와 브리지 운영사 전반에 걸쳐 플래그 처리됐다.
또 읽어보기: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
북한 연계 위협 행위자 의심
SEALS 911 팀이 수행한 조사에서는, 이번 작전이 2024년 10월 레이디언트 캐피탈(Radiant Capital) 해킹을 주도한 것과 동일한 위협 행위자에 의해 수행됐을 가능성이 중~상 수준의 신뢰도로 평가됐다.
맨디언트 는 앞선 공격을 북한 정부 연계 그룹 UNC4736 의 소행으로 분류한 바 있으며, 이들은 AppleJeus 또는 Citrine Sleet 이라는 이름으로도 추적되고 있다.
두 사건의 연결 고리는 온체인 증거와 작전 패턴 모두에서 드러난다.
드리프트 작전을 준비하고 테스트하는 데 사용된 자금 흐름은 레이디언트 공격자에게로 거슬러 올라가며, 캠페인 전반에 배치된 페르소나는 기존에 확인된 북한(DPRK) 연계 활동과 겹친다. 특히 현장에 직접 모습을 드러낸 인물들은 북한 국적자가 아니었다. 이 수준의 DPRK 위협 행위자들은 대면 접촉을 위해 제3의 중개인을 활용하는 것으로 알려져 있다.
다음 기사: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline