Drift Protocol (DRIFT) heeft op 5 april een uitgebreid incident-rapport gepubliceerd. Hierin staat dat de exploit van $285 miljoen op 1 april het gevolg was van een zes maanden durende spionageoperatie. De actie wordt toegeschreven aan door Noord-Korea gesteunde actoren.
De bekendmaking beschrijft een niveau van social engineering dat veel verder gaat dan standaard phishing of recruiter-scams. Er waren persoonlijke ontmoetingen, echte kapitaalinzet en maanden van het opbouwen van vertrouwen.
Een nep-handelsbedrijf dat het lange spel speelde
Volgens Drift benaderde een groep, die zich voordeed als een quant-tradingbedrijf, voor het eerst medewerkers op een groot crypto-congres in de herfst van 2025.
In de maanden daarna kwamen deze personen op meerdere evenementen in verschillende landen, hielden werksessies en voerden doorlopend Telegram-gesprekken over integratie van vaults.
Volg ons op X voor het laatste nieuws zodra het gebeurt
Tussen december 2025 en januari 2026 activeerde de groep een Ecosystem Vault op Drift, stortte meer dan $1 miljoen aan kapitaal en deed mee aan gedetailleerde productbesprekingen.
In maart hadden Drift-medewerkers deze mensen meermaals persoonlijk ontmoet.
“…de gevaarlijkste hackers zien er niet uit als hackers,” merkte crypto-ontwikkelaar Gautham op.
Zelfs webbeveiligingsexperts vinden dit zorgelijk. Onderzoeker Tay vertelt dat ze eerst dacht aan een typische recruiter-scam, maar de diepte van deze operatie veel schokkender vond.
Hoe de apparaten werden gecompromitteerd
Drift identificeerde drie waarschijnlijke aanvalsvectoren:
- Een medewerker kloonde een code-repository die de groep deelde voor een vault-frontend.
- Een tweede persoon downloadde een TestFlight-applicatie die werd gepresenteerd als een wallet-product.
- Voor de repository-vector wees Drift op een bekende kwetsbaarheid in VSCode en Cursor, waar beveiligingsexperts sinds eind 2025 voor waarschuwden.
Dit lek maakte het mogelijk dat willekeurige code direct werd uitgevoerd zodra een bestand of map werd geopend in de editor, zonder dat de gebruiker iets hoefde te doen.
Na de datalek op 1 april verwijderden de aanvallers alle Telegram-chats en de kwaadaardige software. Drift heeft daarna de resterende protocolfuncties bevroren en gecompromitteerde wallets uit de multisig gehaald.
Het SEALS 911 team schat met gemiddeld-hoge zekerheid dat dezelfde daders verantwoordelijk waren voor de hack op Radiant Capital in oktober 2024, die door Mandiant werd toegeschreven aan UNC4736.
On-chain geldstromen en overlappende werkwijzen tussen de twee incidenten ondersteunen deze connectie.
Industrie roept op tot security-reset
Armani Ferrante, een bekende Solana-ontwikkelaar, riep elk crypto-team op om groeipogingen te stoppen en de volledige beveiligingsstack te controleren.
“Elk team in crypto zou dit moment moeten grijpen om te vertragen en zich op beveiliging te richten. Zet er als het kan een heel team op… je kunt niet groeien als je gehackt wordt,” zei Ferrante.
Drift gaf aan dat de personen die in persoon verschenen, geen Noord-Koreaanse nationaliteit hadden. DPRK-bedreigingsactoren maken op dit niveau vaak gebruik van tussenpersonen voor fysieke contacten.
Mandiant, dat door Drift is ingeschakeld voor device-forensics, heeft de aanval nog niet officieel toegeschreven.
De bekendmaking is een waarschuwing voor het bredere ecosysteem. Drift adviseert teams om toegangscontroles te controleren, elk apparaat dat multisig aanraakt te zien als mogelijk doelwit, en SEAL 911 te benaderen bij vermoeden van soortgelijke aanvallen.
