Default
Door Remote - 05 Apr 2026
Een zes maanden durende inlichtingenoperatie ging vooraf aan de $270 miljoen kostende exploitatie van het Drift Protocol en werd uitgevoerd door een Noord-Koreaanse staatsgelieerde groep, volgens een gedetailleerde incidentupdate die het team eerder op zondag publiceerde.
De aanvallers maakten voor het eerst contact rond het najaar van 2025 tijdens een grote cryptoconferentie, waarbij ze zichzelf presenteerden als een kwantitatief handelsbedrijf dat met Drift wilde integreren.
Ze waren technisch vloeiend, hadden een verifieerbare professionele achtergrond en begrepen hoe het protocol werkte, zei Drift. Er werd een Telegram-groep opgericht en wat volgde waren maanden van inhoudelijke gesprekken over handelsstrategieën en kluisintegraties, interacties die standaard zijn voor de manier waarop handelsfirma's aan boord gaan van DeFi-protocollen.
Tussen december 2025 en januari 2026 heeft de groep een Ecosystem Vault op Drift geïnstalleerd, meerdere werksessies gehouden met bijdragers, meer dan $ 1 miljoen van hun eigen kapitaal gestort en een functionerende operationele aanwezigheid binnen het ecosysteem opgebouwd.
Drift-bijdragers ontmoetten individuen uit de groep van aangezicht tot aangezicht op meerdere grote industrieconferenties in verschillende landen in februari en maart. Tegen de tijd dat de aanval op 1 april begon, was de relatie bijna een half jaar oud.
Het compromis lijkt via twee vectoren tot stand te zijn gekomen.
Een tweede downloadde een TestFlight-applicatie, het platform van Apple voor het distribueren van pre-release-apps die de beveiligingsbeoordeling van de App Store omzeilen, die de groep presenteerde als hun portemonneeproduct.
Voor de repositoryvector wees Drift op een bekende kwetsbaarheid in VSCode en Cursor, twee van de meest gebruikte code-editors in softwareontwikkeling, die de beveiligingsgemeenschap sinds eind 2025 signaleerde, waarbij het simpelweg openen van een bestand of map in de editor voldoende was om in stilte willekeurige code uit te voeren zonder enige prompt of waarschuwing.
Toen apparaten eenmaal waren gecompromitteerd, hadden de aanvallers alles wat ze nodig hadden om de twee multisig-goedkeuringen te verkrijgen die de duurzame nonce-aanval mogelijk maakten die CoinDesk eerder deze week beschreef. Deze vooraf ondertekende transacties bleven meer dan een week inactief voordat ze op 1 april werden uitgevoerd, waardoor in minder dan een minuut 270 miljoen dollar uit de kluizen van het protocol werd gezogen.
De toeschrijving wijst op UNC4736, een Noord-Koreaanse staatsgelieerde groep die ook wordt gevolgd als AppleJeus of Citrine Sleet, gebaseerd op zowel on-chain fondsstromen die teruggaan naar de Radiant Capital-aanvallers als operationele overlap met bekende aan de DVK gelinkte persona's.
De personen die persoonlijk op conferenties verschenen, hadden echter geen Noord-Koreaanse staatsburgers. Het is bekend dat Noord-Koreaanse dreigingsactoren op dit niveau externe tussenpersonen inzetten met volledig geconstrueerde identiteiten, arbeidsverleden en professionele netwerken die zijn gebouwd om due diligence te weerstaan.
Drift drong er bij andere protocollen op aan om toegangscontroles te auditeren en elk apparaat dat een multisig aanraakt als een potentieel doelwit te behandelen. De bredere implicatie is ongemakkelijk voor een sector die vertrouwt op multisig-governance als primair beveiligingsmodel.
Maar als aanvallers bereid zijn zes maanden en een miljoen dollar te besteden aan het opbouwen van een legitieme aanwezigheid in een ecosysteem, teams persoonlijk te ontmoeten, echt kapitaal bij te dragen en te wachten, is de vraag welk beveiligingsmodel is ontworpen om dat op te vangen.
De aanvallers maakten voor het eerst contact rond het najaar van 2025 tijdens een grote cryptoconferentie, waarbij ze zichzelf presenteerden als een kwantitatief handelsbedrijf dat met Drift wilde integreren.
Ze waren technisch vloeiend, hadden een verifieerbare professionele achtergrond en begrepen hoe het protocol werkte, zei Drift. Er werd een Telegram-groep opgericht en wat volgde waren maanden van inhoudelijke gesprekken over handelsstrategieën en kluisintegraties, interacties die standaard zijn voor de manier waarop handelsfirma's aan boord gaan van DeFi-protocollen.
Tussen december 2025 en januari 2026 heeft de groep een Ecosystem Vault op Drift geïnstalleerd, meerdere werksessies gehouden met bijdragers, meer dan $ 1 miljoen van hun eigen kapitaal gestort en een functionerende operationele aanwezigheid binnen het ecosysteem opgebouwd.
Drift-bijdragers ontmoetten individuen uit de groep van aangezicht tot aangezicht op meerdere grote industrieconferenties in verschillende landen in februari en maart. Tegen de tijd dat de aanval op 1 april begon, was de relatie bijna een half jaar oud.
Het compromis lijkt via twee vectoren tot stand te zijn gekomen.
Een tweede downloadde een TestFlight-applicatie, het platform van Apple voor het distribueren van pre-release-apps die de beveiligingsbeoordeling van de App Store omzeilen, die de groep presenteerde als hun portemonneeproduct.
Voor de repositoryvector wees Drift op een bekende kwetsbaarheid in VSCode en Cursor, twee van de meest gebruikte code-editors in softwareontwikkeling, die de beveiligingsgemeenschap sinds eind 2025 signaleerde, waarbij het simpelweg openen van een bestand of map in de editor voldoende was om in stilte willekeurige code uit te voeren zonder enige prompt of waarschuwing.
Toen apparaten eenmaal waren gecompromitteerd, hadden de aanvallers alles wat ze nodig hadden om de twee multisig-goedkeuringen te verkrijgen die de duurzame nonce-aanval mogelijk maakten die CoinDesk eerder deze week beschreef. Deze vooraf ondertekende transacties bleven meer dan een week inactief voordat ze op 1 april werden uitgevoerd, waardoor in minder dan een minuut 270 miljoen dollar uit de kluizen van het protocol werd gezogen.
De toeschrijving wijst op UNC4736, een Noord-Koreaanse staatsgelieerde groep die ook wordt gevolgd als AppleJeus of Citrine Sleet, gebaseerd op zowel on-chain fondsstromen die teruggaan naar de Radiant Capital-aanvallers als operationele overlap met bekende aan de DVK gelinkte persona's.
De personen die persoonlijk op conferenties verschenen, hadden echter geen Noord-Koreaanse staatsburgers. Het is bekend dat Noord-Koreaanse dreigingsactoren op dit niveau externe tussenpersonen inzetten met volledig geconstrueerde identiteiten, arbeidsverleden en professionele netwerken die zijn gebouwd om due diligence te weerstaan.
Drift drong er bij andere protocollen op aan om toegangscontroles te auditeren en elk apparaat dat een multisig aanraakt als een potentieel doelwit te behandelen. De bredere implicatie is ongemakkelijk voor een sector die vertrouwt op multisig-governance als primair beveiligingsmodel.
Maar als aanvallers bereid zijn zes maanden en een miljoen dollar te besteden aan het opbouwen van een legitieme aanwezigheid in een ecosysteem, teams persoonlijk te ontmoeten, echt kapitaal bij te dragen en te wachten, is de vraag welk beveiligingsmodel is ontworpen om dat op te vangen.