Największy tegoroczny exploit w DeFi zaczął się na wydarzeniu networkingowym z darmowymi drinkami — Drift Protocol ujawnił 5 kwietnia, że jego atak z 1 kwietnia był wynikiem sześciomiesięcznej operacji wywiadowczej, która jest obecnie z średnio‑wysokim poziomem pewności łączona z aktorami powiązanymi z państwem północnokoreańskim.
Szczegóły ataku na Drift Protocol
Infiltracja rozpoczęła się jesienią 2025 r., gdy grupa podszywająca się pod firmę zajmującą się handlem ilościowym podeszła do kontrybutorów Drift na dużej konferencji kryptowalutowej. W kolejnych miesiącach spotykali się z członkami zespołu twarzą w twarz na wielu branżowych wydarzeniach w kilku krajach.
Zdeponowali ponad 1 mln USD własnego kapitału w Ecosystem Vault.
Zadawali szczegółowe pytania produktowe podczas wielu sesji roboczych, budując coś, co wydawało się być legalną operacją tradingową wewnątrz infrastruktury Drift.
Między grudniem 2025 r. a marcem 2026 r. grupa pogłębiała więzi poprzez integracje z vaultem i kontynuowała spotkania osobiste na konferencjach. Kontrybutorzy nie mieli powodów do podejrzeń — w momencie exploita relacja trwała już prawie pół roku i obejmowała zweryfikowane doświadczenia zawodowe, merytoryczne rozmowy techniczne oraz działającą obecność on‑chain.
Gdy 1 kwietnia doszło do ataku, czaty Telegram grupy oraz złośliwe oprogramowanie zostały wyczyszczone. Analiza kryminalistyczna zidentyfikowała dwa prawdopodobne wektory włamania: złośliwe repozytorium kodu udostępnione pod pretekstem wdrożenia frontendowego dla vaulta oraz aplikację TestFlight przedstawianą jako produkt portfela tej grupy.
Znana luka w edytorach VSCode i Cursor, aktywnie zgłaszana przez społeczność bezpieczeństwa od grudnia 2025 r. do lutego 2026 r., mogła umożliwić ciche wykonanie kodu już przy samym otwarciu pliku.
Wszystkie pozostałe funkcje protokołu zostały zamrożone, a skompromitowane portfele usunięto z multisiga. Do śledztwa zaangażowano firmę Mandiant, a portfele atakujących zostały oflagowane na giełdach i u operatorów mostów.
Zobacz też: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Podejrzenia wobec północnokoreańskich aktorów
Dochodzenie prowadzone przez zespół SEALS 911 oceniło z średnio‑wysoką pewnością, że operacja została przeprowadzona przez tych samych aktorów zagrożeń, którzy stali za październikowym atakiem na Radiant Capital w 2024 r.
Mandiant wcześniej przypisał tamten atak grupie UNC4736, powiązanej z państwem północnokoreańskim, znanej również jako AppleJeus lub Citrine Sleet.
To powiązanie opiera się zarówno na dowodach on‑chain, jak i na wzorcach operacyjnych.
Przepływy środków użytych do przygotowania i testowania operacji przeciwko Drift prowadzą z powrotem do atakujących Radiant, a persony wykorzystywane w kampanii pokrywają się ze znaną aktywnością powiązaną z KRLD. Co istotne, osoby pojawiające się osobiście nie były obywatelami Korei Północnej — wiadomo, że aktorzy zagrożeń z KRLD na tym poziomie używają pośredników stron trzecich do kontaktów twarzą w twarz.
Przeczytaj następnie: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline