Default
Door Remote - 06 Apr 2026
In het kort
Drift Protocol heeft de recente aanval van 285 miljoen dollar op zijn DEX met “middelhoog vertrouwen” toegeschreven aan UNC4736, een aan de Noord-Koreaanse staat gelieerde hackergroep.
Aanvallers stortten meer dan 1 miljoen dollar van hun eigen kapitaal en bouwden een functionerende kluis in het ecosysteem voordat ze de exploit uitvoerden.
De slechte actoren hebben de sporen onmiddellijk gewist, waarbij Telegram-chats en malware na uitvoering “volledig zijn verwijderd”.
De in Solana gevestigde gedecentraliseerde beurs Drift Protocol zei zondag dat de aanval, die ongeveer 285 miljoen dollar van het platform heeft weggenomen, een gestructureerde zes maanden durende inlichtingenoperatie was door een Noord-Koreaanse staatsgelieerde dreigingsgroep.
De aanvallers gebruikten verzonnen professionele identiteiten, persoonlijke conferentiebijeenkomsten en kwaadaardige ontwikkelaarstools om bijdragers in gevaar te brengen voordat ze de drain uitvoerden, aldus het protocol in een gedetailleerde incidentupdate.
https://t.co/qYBMCup9i6
— Drift (@DriftProtocol) 5 april 2026
“Cryptoteams worden nu geconfronteerd met tegenstanders die meer als inlichtingeneenheden dan als hackers opereren, en de meeste organisaties zijn niet structureel voorbereid op dat dreigingsniveau”, vertelde Michael Pearl, VP Strategie bij blockchain-beveiligingsbedrijf Cyvers, aan Decrypt.
Drift zei dat de groep afgelopen najaar voor het eerst deelnemers benaderde op een grote cryptoconferentie, waarbij ze zich presenteerden als een kwantitatief handelsbedrijf dat wilde integreren met het protocol.
In de loop van de maanden bouwde de groep vertrouwen op door middel van persoonlijke ontmoetingen, Telegram-coördinatie, het aan boord nemen van een Ecosystem Vault op Drift en een storting van $1 miljoen van hun eigen kapitaal, om vervolgens te verdwijnen, waarbij chats en malware “volledig werden geschrapt” toen de exploit toesloeg.
De DEX zei dat bij de inbraak mogelijk sprake was van een opslagplaats voor kwaadaardige code, een nep-TestFlight-app en een VSCode/Cursor-kwetsbaarheid die stille code-uitvoering mogelijk maakte zonder tussenkomst van de gebruiker.
Drift schreef de aanval met “matig tot hoog vertrouwen” toe aan UNC4736, ook gevolgd als AppleJeus of Citrine Sleet – dezelfde Noord-Koreaanse staatsgelieerde groep die cyberbeveiligingsbedrijf Mandiant in verband bracht met de Radiant Capital-hack uit 2024.
Drift zei dat de personen die de bijdragers persoonlijk ontmoetten geen Noord-Koreaanse staatsburgers waren, en merkte op dat aan de DVK gelieerde actoren vaak afhankelijk zijn van externe tussenpersonen voor ‘face-to-face betrokkenheid’.
Onchain-fondsstromen en overlappende persona's wijzen volgens incidentresponders SEAL 911 op met de DVK gelinkte actoren, hoewel Mandiant de toeschrijving nog moet bevestigen in afwachting van forensisch onderzoek, merkte het platform op.
Beveiligingsonderzoeker @tayvano_, een van de experts die Drift heeft gecrediteerd voor hulp bij het identificeren van de kwaadwillende actoren, suggereerde dat de blootstelling veel verder reikt dan dit incident.
In een tweet somde de expert tientallen DeFi-protocollen op, waarbij hij beweerde dat “IT-medewerkers van de DVK de protocollen hebben gebouwd die je kent en waar je van houdt, helemaal terug tot aan de zomer.”
Implicaties voor de sector "Drift en Bybit benadrukken hetzelfde patroon: ondertekenaars werden niet direct gecompromitteerd op protocolniveau, ze werden misleid om kwaadaardige transacties goed te keuren", merkte Pearl op. "Het kernprobleem is niet het aantal ondertekenaars, maar het gebrek aan begrip van de transactie-intentie."
Hij zei dat portemonnees met meerdere handtekeningen, hoewel ze een verbetering zijn ten opzichte van de controle met één sleutel, nu een vals gevoel van veiligheid creëren, waardoor een “paradox” wordt geïntroduceerd waarbij gedeelde verantwoordelijkheid de controle onder ondertekenaars verlaagt.
“Beveiliging moet verschuiven naar validatie vóór transacties op blockchain-niveau, waar transacties onafhankelijk worden gesimuleerd en geverifieerd voordat ze worden uitgevoerd”, aldus Pearl. Hij voegde eraan toe dat zodra aanvallers bepalen wat gebruikers zien, de enige effectieve verdediging het valideren is van wat een transactie feitelijk doet, ongeacht de interface.
Wat ontwikkelaarstools als aanvalsoppervlak betreft, zei Lavid dat de aanname van de grond af aan moet veranderen.
"Je moet ervan uitgaan dat het eindpunt is gecompromitteerd", zei hij tegen Decrypt, waarbij hij wees op IDE's, coderepository's, mobiele apps en ondertekenaaromgevingen als steeds vaker voorkomende toegangspunten.
“Als deze fundamentele tools kwetsbaar zijn, kan alles wat aan de gebruiker wordt getoond – inclusief transacties – worden gemanipuleerd”, zei de expert, waarbij hij opmerkte dat dit “fundamenteel in strijd is met traditionele veiligheidsaannames”, waardoor teams “de interface, het apparaat of zelfs de ondertekeningsstroom” niet meer kunnen vertrouwen.
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!
Drift Protocol heeft de recente aanval van 285 miljoen dollar op zijn DEX met “middelhoog vertrouwen” toegeschreven aan UNC4736, een aan de Noord-Koreaanse staat gelieerde hackergroep.
Aanvallers stortten meer dan 1 miljoen dollar van hun eigen kapitaal en bouwden een functionerende kluis in het ecosysteem voordat ze de exploit uitvoerden.
De slechte actoren hebben de sporen onmiddellijk gewist, waarbij Telegram-chats en malware na uitvoering “volledig zijn verwijderd”.
De in Solana gevestigde gedecentraliseerde beurs Drift Protocol zei zondag dat de aanval, die ongeveer 285 miljoen dollar van het platform heeft weggenomen, een gestructureerde zes maanden durende inlichtingenoperatie was door een Noord-Koreaanse staatsgelieerde dreigingsgroep.
De aanvallers gebruikten verzonnen professionele identiteiten, persoonlijke conferentiebijeenkomsten en kwaadaardige ontwikkelaarstools om bijdragers in gevaar te brengen voordat ze de drain uitvoerden, aldus het protocol in een gedetailleerde incidentupdate.
https://t.co/qYBMCup9i6
— Drift (@DriftProtocol) 5 april 2026
“Cryptoteams worden nu geconfronteerd met tegenstanders die meer als inlichtingeneenheden dan als hackers opereren, en de meeste organisaties zijn niet structureel voorbereid op dat dreigingsniveau”, vertelde Michael Pearl, VP Strategie bij blockchain-beveiligingsbedrijf Cyvers, aan Decrypt.
Drift zei dat de groep afgelopen najaar voor het eerst deelnemers benaderde op een grote cryptoconferentie, waarbij ze zich presenteerden als een kwantitatief handelsbedrijf dat wilde integreren met het protocol.
In de loop van de maanden bouwde de groep vertrouwen op door middel van persoonlijke ontmoetingen, Telegram-coördinatie, het aan boord nemen van een Ecosystem Vault op Drift en een storting van $1 miljoen van hun eigen kapitaal, om vervolgens te verdwijnen, waarbij chats en malware “volledig werden geschrapt” toen de exploit toesloeg.
De DEX zei dat bij de inbraak mogelijk sprake was van een opslagplaats voor kwaadaardige code, een nep-TestFlight-app en een VSCode/Cursor-kwetsbaarheid die stille code-uitvoering mogelijk maakte zonder tussenkomst van de gebruiker.
Drift schreef de aanval met “matig tot hoog vertrouwen” toe aan UNC4736, ook gevolgd als AppleJeus of Citrine Sleet – dezelfde Noord-Koreaanse staatsgelieerde groep die cyberbeveiligingsbedrijf Mandiant in verband bracht met de Radiant Capital-hack uit 2024.
Drift zei dat de personen die de bijdragers persoonlijk ontmoetten geen Noord-Koreaanse staatsburgers waren, en merkte op dat aan de DVK gelieerde actoren vaak afhankelijk zijn van externe tussenpersonen voor ‘face-to-face betrokkenheid’.
Onchain-fondsstromen en overlappende persona's wijzen volgens incidentresponders SEAL 911 op met de DVK gelinkte actoren, hoewel Mandiant de toeschrijving nog moet bevestigen in afwachting van forensisch onderzoek, merkte het platform op.
Beveiligingsonderzoeker @tayvano_, een van de experts die Drift heeft gecrediteerd voor hulp bij het identificeren van de kwaadwillende actoren, suggereerde dat de blootstelling veel verder reikt dan dit incident.
In een tweet somde de expert tientallen DeFi-protocollen op, waarbij hij beweerde dat “IT-medewerkers van de DVK de protocollen hebben gebouwd die je kent en waar je van houdt, helemaal terug tot aan de zomer.”
Implicaties voor de sector "Drift en Bybit benadrukken hetzelfde patroon: ondertekenaars werden niet direct gecompromitteerd op protocolniveau, ze werden misleid om kwaadaardige transacties goed te keuren", merkte Pearl op. "Het kernprobleem is niet het aantal ondertekenaars, maar het gebrek aan begrip van de transactie-intentie."
Hij zei dat portemonnees met meerdere handtekeningen, hoewel ze een verbetering zijn ten opzichte van de controle met één sleutel, nu een vals gevoel van veiligheid creëren, waardoor een “paradox” wordt geïntroduceerd waarbij gedeelde verantwoordelijkheid de controle onder ondertekenaars verlaagt.
“Beveiliging moet verschuiven naar validatie vóór transacties op blockchain-niveau, waar transacties onafhankelijk worden gesimuleerd en geverifieerd voordat ze worden uitgevoerd”, aldus Pearl. Hij voegde eraan toe dat zodra aanvallers bepalen wat gebruikers zien, de enige effectieve verdediging het valideren is van wat een transactie feitelijk doet, ongeacht de interface.
Wat ontwikkelaarstools als aanvalsoppervlak betreft, zei Lavid dat de aanname van de grond af aan moet veranderen.
"Je moet ervan uitgaan dat het eindpunt is gecompromitteerd", zei hij tegen Decrypt, waarbij hij wees op IDE's, coderepository's, mobiele apps en ondertekenaaromgevingen als steeds vaker voorkomende toegangspunten.
“Als deze fundamentele tools kwetsbaar zijn, kan alles wat aan de gebruiker wordt getoond – inclusief transacties – worden gemanipuleerd”, zei de expert, waarbij hij opmerkte dat dit “fundamenteel in strijd is met traditionele veiligheidsaannames”, waardoor teams “de interface, het apparaat of zelfs de ondertekeningsstroom” niet meer kunnen vertrouwen.
Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!