De grootste DeFi-exploit van het jaar begon op een netwerkevenement met gratis drankjes — Drift Protocol maakte op 5 april bekend dat de Apr. 1 hack het resultaat was van een zes maanden durende inlichtingenoperatie, nu met middel‑hoge waarschijnlijkheid gelinkt aan Noord‑Koreaanse staat‑gelieerde actoren.
Details van de Drift Protocol-aanval
De infiltratie begon in de herfst van 2025, toen een groep die zich voordeed als een kwantitatief handelsbedrijf Drift-bijdragers benaderde op een grote cryptoconferentie. In de daaropvolgende maanden ontmoetten ze teamleden persoonlijk op meerdere branche-evenementen in verschillende landen.
Ze stortten meer dan $1 miljoen van hun eigen kapitaal in een Ecosystem Vault.
Ze stelden gedetailleerde productvragen tijdens meerdere werksessies en bouwden wat leek op een legitieme handelsoperatie binnen de infrastructuur van Drift.
Tussen december 2025 en maart 2026 verdiepten ze hun banden via vault-integraties en vervolgden ze persoonlijke ontmoetingen op conferenties. Bijdragers hadden geen reden tot argwaan — tegen de tijd van de exploit was de relatie bijna een half jaar oud en omvatte deze geverifieerde professionele achtergronden, inhoudelijke technische gesprekken en een functionerende on-chain aanwezigheid.
Toen de aanval op 1 april plaatsvond, waren de Telegram-chats van de groep en de kwaadaardige software volledig opgeschoond. Forensisch onderzoek identificeerde twee waarschijnlijke intrusievectoren: een kwaadaardige code-repository die werd gedeeld onder het voorwendsel van het uitrollen van een vault-frontend, en een TestFlight-applicatie die werd gepresenteerd als de wallet van de groep.
Een bekende kwetsbaarheid in de editors VSCode en Cursor, die door de beveiligingsgemeenschap actief werd gesignaleerd van december 2025 tot februari 2026, kan stille code‑uitvoering hebben mogelijk gemaakt door enkel een bestand te openen.
Alle overige functies van het protocol zijn bevroren en gecompromitteerde wallets zijn uit de multisig verwijderd. Mandiant is ingeschakeld voor het onderzoek en wallets van de aanvallers zijn gemarkeerd bij beurzen en brugexploitanten.
Ook lezen: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Vermoeden van Noord-Koreaanse dreigingsactoren
Onderzoeken uitgevoerd door het SEALS 911-team concludeerden met middel‑hoge zekerheid dat de operatie werd uitgevoerd door dezelfde dreigingsactoren achter de Radiant Capital-hack van oktober 2024.
Mandiant schreef die aanval eerder toe aan UNC4736, een Noord‑Koreaanse staat‑gelieerde groep die ook wordt gevolgd als AppleJeus of Citrine Sleet.
De link is gebaseerd op zowel on‑chain bewijs als operationele patronen.
Geldstromen die werden gebruikt om de Drift-operatie op te zetten en te testen, zijn herleid tot de Radiant-aanvallers, en persona’s die tijdens de campagne werden ingezet overlappen met bekende activiteiten die aan de DPRK zijn gelinkt. Opmerkelijk is dat de personen die in levenden lijve verschenen geen Noord‑Koreaanse staatsburgers waren — DPRK‑dreigingsactoren op dit niveau staan erom bekend derde partijen in te zetten voor persoonlijke ontmoetingen.
Lees hierna: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline