Default
Door Remote - 02 Apr 2026
Elliptic zei donderdag dat de $285 miljoen kostende Drift Protocol-exploit, de grootste dit jaar, “meerdere indicatoren” bevat van de betrokkenheid van de door de staat gesponsorde Noord-Koreaanse hackergroep.
Het onderzoeksbureau wees specifiek op onchain-gedrag, witwasmethoden en signalen op netwerkniveau, die allemaal aansluiten bij eerdere staatsgerelateerde aanvallen.
Drift Protocol, waarvan het token sinds de hack met meer dan 40% is gedaald tot ongeveer $ 0,06, is de grootste gedecentraliseerde eeuwigdurende futures-uitwisseling op de Solana-blockchain.
“Indien bevestigd, zou dit incident de achttiende Noord-Koreaanse daad zijn die Elliptic dit jaar heeft gevolgd, waarbij tot nu toe meer dan 300 miljoen dollar is gestolen”, aldus het rapport.
"Het is een voortzetting van de aanhoudende campagne van de DVK voor grootschalige diefstal van crypto-activa, die de Amerikaanse regering heeft gekoppeld aan de financiering van haar wapenprogramma's. Aan de DVK gelinkte actoren worden verondersteld verantwoordelijk te zijn voor miljarden dollars aan diefstal van crypto-activa in de afgelopen jaren", voegde Elliptic eraan toe.
Uren eerder bleek uit gegevens van Arkham dat meer dan 250 miljoen dollar van Drift naar een tijdelijke portemonnee was verplaatst en vervolgens naar verschillende andere adressen.
In december onthulde een Chainalysis-rapport dat Noord-Koreaanse hackers in 2025 een recordbedrag van 2 miljard dollar aan crypto hadden gestolen, inclusief de Bybit-inbraak van 1,4 miljard dollar, wat neerkomt op een stijging van 51% ten opzichte van het voorgaande jaar. Het Amerikaanse ministerie van Financiën zei vorige maand dat Noord-Korea de gestolen activa gebruikt om het programma voor massavernietigingswapens van het land te financieren.
In plaats van zich te concentreren op de exploit zelf, benadrukt de analyse van Elliptic een bekend operationeel patroon. De activiteit lijkt ‘met voorbedachten rade en zorgvuldig geënsceneerd’, waarbij vroege testtransacties en vooraf gepositioneerde portemonnees voorafgaan aan het hoofdevenement.
Het rapport legt uit dat zodra de fondsen eenmaal waren uitgevoerd, ze snel werden geconsolideerd en geruild, over ketens heen werden overbrugd en in meer liquide activa werden omgezet, wat een gestructureerde, herhaalbare witwasstroom weerspiegelde die bedoeld was om de herkomst te verdoezelen en tegelijkertijd de controle te behouden.
Een centrale uitdaging, zo merkt Elliptic op, is het accountmodel van Solana. Omdat elk activum op een afzonderlijk tokenaccount wordt bewaard, kunnen activiteiten die aan één enkele actor zijn gekoppeld, gefragmenteerd over meerdere adressen lijken. Zonder deze met elkaar te verbinden lopen onderzoekers het risico dat ze “fragmenten van de activiteit van de aanvaller zien, en niet het volledige beeld.”
Dit is waar het rapport van Elliptic de clusterbenadering benadrukt, die token-accounts terugkoppelt naar een enkele entiteit, waardoor blootstelling kan worden geïdentificeerd, ongeacht welk adres wordt gescreend. Bij een incident waarbij meer dan een dozijn soorten activa betrokken zijn, wordt dat inzicht op entiteitsniveau van cruciaal belang.
De zaak benadrukt ook, zo voegt Elliptic in haar rapport toe, hoe het witwassen inherent cross-chain is geworden. Fondsen verhuisden van Solana naar Ethereum en daarbuiten, wat de behoefte aantoonde aan wat Elliptic omschreef als ‘holistische cross-chain tracing-mogelijkheden’.
Het onderzoeksbureau wees specifiek op onchain-gedrag, witwasmethoden en signalen op netwerkniveau, die allemaal aansluiten bij eerdere staatsgerelateerde aanvallen.
Drift Protocol, waarvan het token sinds de hack met meer dan 40% is gedaald tot ongeveer $ 0,06, is de grootste gedecentraliseerde eeuwigdurende futures-uitwisseling op de Solana-blockchain.
“Indien bevestigd, zou dit incident de achttiende Noord-Koreaanse daad zijn die Elliptic dit jaar heeft gevolgd, waarbij tot nu toe meer dan 300 miljoen dollar is gestolen”, aldus het rapport.
"Het is een voortzetting van de aanhoudende campagne van de DVK voor grootschalige diefstal van crypto-activa, die de Amerikaanse regering heeft gekoppeld aan de financiering van haar wapenprogramma's. Aan de DVK gelinkte actoren worden verondersteld verantwoordelijk te zijn voor miljarden dollars aan diefstal van crypto-activa in de afgelopen jaren", voegde Elliptic eraan toe.
Uren eerder bleek uit gegevens van Arkham dat meer dan 250 miljoen dollar van Drift naar een tijdelijke portemonnee was verplaatst en vervolgens naar verschillende andere adressen.
In december onthulde een Chainalysis-rapport dat Noord-Koreaanse hackers in 2025 een recordbedrag van 2 miljard dollar aan crypto hadden gestolen, inclusief de Bybit-inbraak van 1,4 miljard dollar, wat neerkomt op een stijging van 51% ten opzichte van het voorgaande jaar. Het Amerikaanse ministerie van Financiën zei vorige maand dat Noord-Korea de gestolen activa gebruikt om het programma voor massavernietigingswapens van het land te financieren.
In plaats van zich te concentreren op de exploit zelf, benadrukt de analyse van Elliptic een bekend operationeel patroon. De activiteit lijkt ‘met voorbedachten rade en zorgvuldig geënsceneerd’, waarbij vroege testtransacties en vooraf gepositioneerde portemonnees voorafgaan aan het hoofdevenement.
Het rapport legt uit dat zodra de fondsen eenmaal waren uitgevoerd, ze snel werden geconsolideerd en geruild, over ketens heen werden overbrugd en in meer liquide activa werden omgezet, wat een gestructureerde, herhaalbare witwasstroom weerspiegelde die bedoeld was om de herkomst te verdoezelen en tegelijkertijd de controle te behouden.
Een centrale uitdaging, zo merkt Elliptic op, is het accountmodel van Solana. Omdat elk activum op een afzonderlijk tokenaccount wordt bewaard, kunnen activiteiten die aan één enkele actor zijn gekoppeld, gefragmenteerd over meerdere adressen lijken. Zonder deze met elkaar te verbinden lopen onderzoekers het risico dat ze “fragmenten van de activiteit van de aanvaller zien, en niet het volledige beeld.”
Dit is waar het rapport van Elliptic de clusterbenadering benadrukt, die token-accounts terugkoppelt naar een enkele entiteit, waardoor blootstelling kan worden geïdentificeerd, ongeacht welk adres wordt gescreend. Bij een incident waarbij meer dan een dozijn soorten activa betrokken zijn, wordt dat inzicht op entiteitsniveau van cruciaal belang.
De zaak benadrukt ook, zo voegt Elliptic in haar rapport toe, hoe het witwassen inherent cross-chain is geworden. Fondsen verhuisden van Solana naar Ethereum en daarbuiten, wat de behoefte aantoonde aan wat Elliptic omschreef als ‘holistische cross-chain tracing-mogelijkheden’.