Największy w tym roku atak na DeFi rozpoczął się na wydarzeniu networkingowym z darmowymi drinkami — Drift Protocol ujawnił 5 kwietnia, że atak z 1 kwietnia był wynikiem sześciomiesięcznej operacji wywiadowczej, obecnie z umiarkowanie wysokim poziomem pewności łączonej z aktorami powiązanymi z północnokoreańskim państwem.
Szczegóły ataku na Drift Protocol
Infiltracja zaczęła się jesienią 2025 r., gdy grupa podszywająca się pod firmę zajmującą się handlem ilościowym podeszła do współpracowników Drift na dużej konferencji kryptowalutowej. W kolejnych miesiącach spotykali się z członkami zespołu twarzą w twarz na wielu branżowych wydarzeniach w kilku krajach.
Zdeponowali ponad 1 mln USD własnego kapitału w Ecosystem Vault.
Zadawali szczegółowe pytania produktowe podczas wielu sesji roboczych, budując coś, co wyglądało na legalną operację tradingową wewnątrz infrastruktury Drift.
Między grudniem 2025 r. a marcem 2026 r. grupa pogłębiała relacje poprzez integracje ze skarbcem oraz kontynuowała spotkania osobiste na konferencjach. Współpracownicy nie mieli powodów do podejrzeń — w momencie ataku relacja trwała już prawie pół roku i obejmowała zweryfikowane doświadczenia zawodowe, merytoryczne rozmowy techniczne oraz działającą obecność on-chain.
Gdy atak nastąpił 1 kwietnia, czaty grupy na Telegramie oraz złośliwe oprogramowanie zostały wyczyszczone. Analiza śledcza zidentyfikowała dwa prawdopodobne wektory włamania: złośliwe repozytorium kodu udostępnione pod pretekstem wdrażania frontend’u dla skarbca oraz aplikację TestFlight przedstawianą jako portfel tej grupy.
Znana luka w edytorach VSCode i Cursor, aktywnie oznaczana przez społeczność bezpieczeństwa od grudnia 2025 r. do lutego 2026 r., mogła umożliwić ciche wykonanie kodu jedynie poprzez otwarcie pliku.
Wszystkie pozostałe funkcje protokołu zostały zamrożone, a skompromitowane portfele usunięto z multisiga. Do śledztwa zaangażowano firmę Mandiant, a portfele atakujących zostały oflagowane na giełdach i u operatorów mostów.
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Podejrzenie udziału północnokoreańskich grup APT
Dochodzenie prowadzone przez zespół SEALS 911 oceniło z umiarkowanie wysoką pewnością, że operację przeprowadzili ci sami aktorzy zagrożeń, którzy stali za atakiem na Radiant Capital w październiku 2024 r.
Mandiant wcześniej przypisał tamten atak grupie UNC4736, powiązanej z Koreą Północną, znanej także jako AppleJeus lub Citrine Sleet.
Powiązanie opiera się zarówno na dowodach on-chain, jak i na wzorcach operacyjnych.
Przepływy środków użyte do przygotowania i testowania operacji przeciw Drift dają się prześledzić do atakujących Radiant, a persony użyte w kampanii pokrywają się ze znaną aktywnością powiązaną z KRLD. Co znamienne, osoby pojawiające się osobiście nie były obywatelami Korei Północnej — aktorzy zagrożeń z KRLD na tym poziomie są znani z wykorzystywania pośredników stron trzecich do kontaktów twarzą w twarz.
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline