De grootste DeFi-exploit van het jaar begon op een netwerkevenement met gratis drankjes — Drift Protocol maakte op 5 apr. bekend dat zijn Apr. 1 hack het resultaat was van een zes maanden durende inlichtingenoperatie die nu met middelhoge tot hoge zekerheid wordt gelinkt aan Noord-Koreaanse staatsgelieerde actoren.
Details van de Drift Protocol-aanval
De infiltratie begon in de herfst van 2025, toen een groep die zich voordeed als een kwantitatief handelsbedrijf Drift-bijdragers benaderde op een grote cryptoconferentie. In de maanden daarna ontmoetten ze teamleden persoonlijk op meerdere branche-evenementen in verschillende landen.
Ze stortten meer dan $1 miljoen van eigen kapitaal in een Ecosystem Vault.
Ze stelden gedetailleerde productvragen tijdens meerdere werksessies en bouwden wat leek op een legitieme handelsoperatie binnen de infrastructuur van Drift.
Tussen december 2025 en maart 2026 verdiepten ze de banden via vault-integraties en bleven ze elkaar persoonlijk ontmoeten op conferenties. Bijdragers hadden geen reden tot argwaan — tegen de tijd van de exploit bestond de relatie al bijna een half jaar en omvatte die geverifieerde professionele achtergronden, inhoudelijke technische gesprekken en een functionele on-chain aanwezigheid.
Toen de aanval op 1 apr. plaatsvond, waren de Telegram-chats van de groep en de kwaadaardige software gewist. Forensisch onderzoek identificeerde twee waarschijnlijke indringingsvectoren: een kwaadaardige coderepository die werd gedeeld onder het mom van het uitrollen van een vault-frontend, en een TestFlight-applicatie die werd gepresenteerd als de wallet van de groep.
Een bekende kwetsbaarheid in VSCode- en Cursor-editors, waar de securitygemeenschap actief voor waarschuwde tussen december 2025 en februari 2026, kan stille code-executie mogelijk hebben gemaakt door simpelweg een bestand te openen.
Alle resterende functies van het protocol zijn bevroren en gecompromitteerde wallets zijn uit de multisig verwijderd. Mandiant is ingeschakeld voor het onderzoek en wallets van de aanvallers zijn gemarkeerd bij beurzen en brugoperators.
Ook lezen: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Vermoeden van Noord-Koreaanse dreigingsactoren
Onderzoeken uitgevoerd door het SEALS 911-team concludeerden met middelhoge tot hoge zekerheid dat de operatie is uitgevoerd door dezelfde dreigingsactoren achter de Radiant Capital-hack van oktober 2024.
Mandiant schreef die aanval eerder toe aan UNC4736, een Noord-Koreaanse staatsgelieerde groep die ook wordt gevolgd als AppleJeus of Citrine Sleet.
Het verband is gebaseerd op zowel on-chain bewijs als operationele patronen.
Geldstromen die werden gebruikt om de Drift-operatie op te zetten en te testen, zijn te herleiden tot de Radiant-aanvallers, en persona’s die in de campagne werden ingezet, overlappen met bekende aan de DPRK gelinkte activiteiten. Opvallend is dat de personen die fysiek verschenen, geen Noord-Koreaanse nationaliteit hadden — DPRK-dreigingsactoren op dit niveau staan erom bekend derde partijen in te zetten voor face-to-face-contact.
Lees hierna: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline