Default
Door Remote - 09 Apr 2026
De $285 miljoen kostende exploit van deze maand op Drift, een gedecentraliseerde beurs (DEX), was de grootste crypto-hack in meer dan een jaar, toen beurs Bybit $1,4 miljard verloor. Bij beide aanvallen werden door de staat gesteunde Noord-Koreaanse hackers als hoofdverdachten genoemd.
Afgelopen herfst deden aanvallers zich voor als een kwantitatief handelsbedrijf en benaderden ze het protocolteam van Drift persoonlijk op een grote cryptoconferentie, zei Drift in een X post Sunday.
“Het is nu duidelijk dat dit een gerichte aanpak lijkt te zijn, waarbij individuen uit deze groep de daaropvolgende zes maanden opzettelijk specifieke Drift-bijdragers persoonlijk bleven zoeken en betrekken op meerdere grote industrieconferenties in meerdere landen”, aldus de DEX.
Tot nu toe hebben Noord-Koreaanse cyberspionnen zich online op cryptobedrijven gericht, via virtuele gesprekken en werk op afstand. Een persoonlijke benadering op een conferentie zou doorgaans geen argwaan wekken, maar de Drift-exploit zou voor de aanwezigen voldoende moeten zijn om de verbanden te bekijken die tijdens recente evenementen zijn gelegd.
De hack verminderde de TVL van Drift in ongeveer 12 minuten met meer dan de helft. Bron: DefiLlama Noord-Korea breidt crypto-playbook uit buiten hacks Blockchain-forensisch bedrijf TRM Labs beschreef het incident als de grootste DeFi-hack van 2026 (tot nu toe) en de op één na grootste exploit in de geschiedenis van Solana, net na de Wormhole-brughack ter waarde van $ 326 miljoen in 2022.
Het eerste contact dateert van ongeveer zes maanden, maar de exploit zelf dateert van half maart, aldus TRM. De aanvaller begon met het verplaatsen van geld uit Tornado Cash en het inzetten van de CarbonVote Token (CVT), terwijl hij social engineering gebruikte om multisig-ondertekenaars te overtuigen transacties goed te keuren die verhoogde rechten verleenden.
Vervolgens creëerden ze geloofwaardigheid voor CVT door een groot aanbod te creëren en de handelsactiviteit op te blazen om de echte vraag te simuleren. De orakels van Drift pikten het signaal op en behandelden het token als een legitiem bezit.
Toen de vooraf goedgekeurde transacties op 1 april werden uitgevoerd, werd CVT geaccepteerd als onderpand, werden de opnamelimieten verhoogd en werden de gelden opgenomen in reële activa, waaronder USDC.
TRM schetst dat de fondsen die in maart uit Tornado Cash zijn verplaatst, zijn gebruikt ter voorbereiding op de Drift-exploit. Bron: TRM Labs. Gerelateerd: Noord-Koreaanse spion maakt een fout en onthult banden in een nep-sollicitatiegesprek
Volgens TRM overtroffen de snelheid en agressiviteit van het daaropvolgende witwassen die van de Bybit-hack.
Er wordt algemeen aangenomen dat Noord-Korea gebruik maakt van grootschalige cryptodiefstallen zoals de Drift- en Bybit-aanvallen, naast tactieken voor de langere termijn, waaronder het plaatsen van medewerkers in externe functies bij technologie- en cryptobedrijven om een stabiel inkomen te genereren. De Veiligheidsraad van de Verenigde Naties heeft gezegd dat dergelijke fondsen worden gebruikt om het wapenprogramma van het land te ondersteunen.
Beveiligingsonderzoeker Taylor Monahan zei dat de infiltratie van DeFi-protocollen teruggaat tot de “DeFi-zomer”, eraan toevoegend dat ongeveer 40 protocollen contact hebben gehad met vermoedelijke Noord-Koreaanse agenten.
Noord-Koreaanse staatsmedia meldden donderdag dat het land een elektromagnetisch wapen en een ballistische korteafstandsraket heeft getest, bekend als de Hwasong-11, uitgerust met kernkoppen voor clustermunitie.
Geschatte afmetingen voor de KN-23, ook wel bekend als de Hwasong-11A. Bron: Christian Maire, FRSInfiltratienetwerk zorgt voor stabiele crypto-inkomsten. Uit een afzonderlijk onderzoek bleek hoe een netwerk van met Noord-Korea verbonden IT-medewerkers miljoenen genereerde door langdurige infiltratie.
Uit gegevens verkregen van een anonieme bron die door ZachXBT werd gedeeld, bleek dat het netwerk zich voordeed als ontwikkelaars en zich verankerde in crypto- en technologiebedrijven, wat ongeveer $1 miljoen per maand en meer dan $3,5 miljoen sinds november opleverde.
De groep verzekerde zich van banen met behulp van vervalste identiteiten, stuurde betalingen via een gedeeld systeem, zette geld vervolgens om in fiat en stuurde deze naar Chinese bankrekeningen via platforms zoals Payoneer.
Wallet-tracering koppelde een deel van de stroom aan adressen die verband hielden met bekende Noord-Koreaanse activiteiten, aldus de blockchain-speurder. Bron: ZachXBT Gerelateerd: Bent u freelancer? Noord-Koreaanse spionnen gebruiken je misschien
De operatie was afhankelijk van de basisinfrastructuur, waaronder een gedeelde website met een gemeenschappelijk wachtwoord en interne klassementen die de inkomsten bijhielden.
De agenten solliciteerden in het volle zicht naar functies met behulp van VPN's en verzonnen documenten, wat duidde op een langere termijnstrategie om agenten in te sluiten om stabiele inkomsten te genereren.
De verdediging evolueert naarmate de infiltratietactieken zich verspreiden. Cointelegraph kwam een soortgelijk plan tegen in een onderzoek uit 2025 onder leiding van Heiner García, die maandenlang contact had gehad met een vermoedelijke agent.
Cointelegraph nam later deel aan García’s dummy-interview met een verdachte die ‘Motoki’ heette en beweerde Japanner te zijn. De woedende verdachte stopte met bellen nadat hij er niet in was geslaagd zichzelf voor te stellen in zijn veronderstelde moederdialect.
Uit het onderzoek bleek dat agenten geografische beperkingen omzeilden door externe toegang te gebruiken tot apparaten die zich fysiek in landen als de VS bevonden. In plaats van VPN's bedienden ze die machines rechtstreeks, waardoor hun activiteit lokaal leek.
Inmiddels hebben tech-headhunters zich gerealiseerd dat de persoon aan de andere kant van een virtueel sollicitatiegesprek inderdaad een Noord-Koreaanse cyberspion kan zijn. Een virale verdedigingsstrategie is om verdachten te vragen Kim Jong-un te beledigen. Tot nu toe is de tactiek effectief gebleken.
Een vermoedelijke Noord-Koreaanse IT-medewerker verstijft als hem wordt gevraagd Kim Jong-un een ‘dik, lelijk varken’ te noemen. Bron: Tanuki42 Toen Drift echter persoonlijk werd benaderd en uit de bevindingen van García bleek dat agenten creatieve methoden vonden om geografische beperkingen te omzeilen, zijn Noord-Koreaanse actoren zich blijven aanpassen aan de kat-en-muisdynamiek.
Geïnterviewden vragen om de opperste leider van Noord-Korea een ‘dik varken’ te noemen is voorlopig een effectieve strategie, maar veiligheidsonderzoekers waarschuwen dat dit niet voor altijd zal werken.
Tijdschrift: Phantom Bitcoin-cheques, China volgt belasting op blockchain: Asia Express
Afgelopen herfst deden aanvallers zich voor als een kwantitatief handelsbedrijf en benaderden ze het protocolteam van Drift persoonlijk op een grote cryptoconferentie, zei Drift in een X post Sunday.
“Het is nu duidelijk dat dit een gerichte aanpak lijkt te zijn, waarbij individuen uit deze groep de daaropvolgende zes maanden opzettelijk specifieke Drift-bijdragers persoonlijk bleven zoeken en betrekken op meerdere grote industrieconferenties in meerdere landen”, aldus de DEX.
Tot nu toe hebben Noord-Koreaanse cyberspionnen zich online op cryptobedrijven gericht, via virtuele gesprekken en werk op afstand. Een persoonlijke benadering op een conferentie zou doorgaans geen argwaan wekken, maar de Drift-exploit zou voor de aanwezigen voldoende moeten zijn om de verbanden te bekijken die tijdens recente evenementen zijn gelegd.
De hack verminderde de TVL van Drift in ongeveer 12 minuten met meer dan de helft. Bron: DefiLlama Noord-Korea breidt crypto-playbook uit buiten hacks Blockchain-forensisch bedrijf TRM Labs beschreef het incident als de grootste DeFi-hack van 2026 (tot nu toe) en de op één na grootste exploit in de geschiedenis van Solana, net na de Wormhole-brughack ter waarde van $ 326 miljoen in 2022.
Het eerste contact dateert van ongeveer zes maanden, maar de exploit zelf dateert van half maart, aldus TRM. De aanvaller begon met het verplaatsen van geld uit Tornado Cash en het inzetten van de CarbonVote Token (CVT), terwijl hij social engineering gebruikte om multisig-ondertekenaars te overtuigen transacties goed te keuren die verhoogde rechten verleenden.
Vervolgens creëerden ze geloofwaardigheid voor CVT door een groot aanbod te creëren en de handelsactiviteit op te blazen om de echte vraag te simuleren. De orakels van Drift pikten het signaal op en behandelden het token als een legitiem bezit.
Toen de vooraf goedgekeurde transacties op 1 april werden uitgevoerd, werd CVT geaccepteerd als onderpand, werden de opnamelimieten verhoogd en werden de gelden opgenomen in reële activa, waaronder USDC.
TRM schetst dat de fondsen die in maart uit Tornado Cash zijn verplaatst, zijn gebruikt ter voorbereiding op de Drift-exploit. Bron: TRM Labs. Gerelateerd: Noord-Koreaanse spion maakt een fout en onthult banden in een nep-sollicitatiegesprek
Volgens TRM overtroffen de snelheid en agressiviteit van het daaropvolgende witwassen die van de Bybit-hack.
Er wordt algemeen aangenomen dat Noord-Korea gebruik maakt van grootschalige cryptodiefstallen zoals de Drift- en Bybit-aanvallen, naast tactieken voor de langere termijn, waaronder het plaatsen van medewerkers in externe functies bij technologie- en cryptobedrijven om een stabiel inkomen te genereren. De Veiligheidsraad van de Verenigde Naties heeft gezegd dat dergelijke fondsen worden gebruikt om het wapenprogramma van het land te ondersteunen.
Beveiligingsonderzoeker Taylor Monahan zei dat de infiltratie van DeFi-protocollen teruggaat tot de “DeFi-zomer”, eraan toevoegend dat ongeveer 40 protocollen contact hebben gehad met vermoedelijke Noord-Koreaanse agenten.
Noord-Koreaanse staatsmedia meldden donderdag dat het land een elektromagnetisch wapen en een ballistische korteafstandsraket heeft getest, bekend als de Hwasong-11, uitgerust met kernkoppen voor clustermunitie.
Geschatte afmetingen voor de KN-23, ook wel bekend als de Hwasong-11A. Bron: Christian Maire, FRSInfiltratienetwerk zorgt voor stabiele crypto-inkomsten. Uit een afzonderlijk onderzoek bleek hoe een netwerk van met Noord-Korea verbonden IT-medewerkers miljoenen genereerde door langdurige infiltratie.
Uit gegevens verkregen van een anonieme bron die door ZachXBT werd gedeeld, bleek dat het netwerk zich voordeed als ontwikkelaars en zich verankerde in crypto- en technologiebedrijven, wat ongeveer $1 miljoen per maand en meer dan $3,5 miljoen sinds november opleverde.
De groep verzekerde zich van banen met behulp van vervalste identiteiten, stuurde betalingen via een gedeeld systeem, zette geld vervolgens om in fiat en stuurde deze naar Chinese bankrekeningen via platforms zoals Payoneer.
Wallet-tracering koppelde een deel van de stroom aan adressen die verband hielden met bekende Noord-Koreaanse activiteiten, aldus de blockchain-speurder. Bron: ZachXBT Gerelateerd: Bent u freelancer? Noord-Koreaanse spionnen gebruiken je misschien
De operatie was afhankelijk van de basisinfrastructuur, waaronder een gedeelde website met een gemeenschappelijk wachtwoord en interne klassementen die de inkomsten bijhielden.
De agenten solliciteerden in het volle zicht naar functies met behulp van VPN's en verzonnen documenten, wat duidde op een langere termijnstrategie om agenten in te sluiten om stabiele inkomsten te genereren.
De verdediging evolueert naarmate de infiltratietactieken zich verspreiden. Cointelegraph kwam een soortgelijk plan tegen in een onderzoek uit 2025 onder leiding van Heiner García, die maandenlang contact had gehad met een vermoedelijke agent.
Cointelegraph nam later deel aan García’s dummy-interview met een verdachte die ‘Motoki’ heette en beweerde Japanner te zijn. De woedende verdachte stopte met bellen nadat hij er niet in was geslaagd zichzelf voor te stellen in zijn veronderstelde moederdialect.
Uit het onderzoek bleek dat agenten geografische beperkingen omzeilden door externe toegang te gebruiken tot apparaten die zich fysiek in landen als de VS bevonden. In plaats van VPN's bedienden ze die machines rechtstreeks, waardoor hun activiteit lokaal leek.
Inmiddels hebben tech-headhunters zich gerealiseerd dat de persoon aan de andere kant van een virtueel sollicitatiegesprek inderdaad een Noord-Koreaanse cyberspion kan zijn. Een virale verdedigingsstrategie is om verdachten te vragen Kim Jong-un te beledigen. Tot nu toe is de tactiek effectief gebleken.
Een vermoedelijke Noord-Koreaanse IT-medewerker verstijft als hem wordt gevraagd Kim Jong-un een ‘dik, lelijk varken’ te noemen. Bron: Tanuki42 Toen Drift echter persoonlijk werd benaderd en uit de bevindingen van García bleek dat agenten creatieve methoden vonden om geografische beperkingen te omzeilen, zijn Noord-Koreaanse actoren zich blijven aanpassen aan de kat-en-muisdynamiek.
Geïnterviewden vragen om de opperste leider van Noord-Korea een ‘dik varken’ te noemen is voorlopig een effectieve strategie, maar veiligheidsonderzoekers waarschuwen dat dit niet voor altijd zal werken.
Tijdschrift: Phantom Bitcoin-cheques, China volgt belasting op blockchain: Asia Express