Μια ομάδα συνδεδεμένη με το βορειοκορεατικό κράτος εκτέλεσε μια από τις πιο εξελιγμένες επιθέσεις στην ιστορία των κρυπτονομισμάτων, αποσπώντας 270 εκατομμύρια δολάρια από το πρωτόκολλο Drift. Η επιχείρηση διήρκεσε έξι μήνες, περιλάμβανε φυσικές συναντήσεις σε διεθνή συνέδρια και επένδυση ενός εκατομμυρίου δολαρίων από τους ίδιους τους επιτιθέμενους.
Αν νομίζατε ότι οι επιθέσεις σε κρυπτοπλατφόρμες είναι υπόθεση μερικών ωρών και ενός καλού χάκερ, η υπόθεση του Drift Protocol αλλάζει τα δεδομένα. Σύμφωνα με την ανακοίνωση που δημοσίευσε η ομάδα του πρωτοκόλλου, η επίθεση που αποκάλυψε το CoinDesk νωρίτερα αυτή την εβδομάδα δεν ήταν αυθόρμητη. Ήταν το αποτέλεσμα μιας οργανωμένης επιχείρησης έξι μηνών, σχεδιασμένης από ομάδα που συνδέεται με τις μυστικές υπηρεσίες της Βόρειας Κορέας.
Το φθινόπωρο του 2025, άτομα που παρουσιάστηκαν ως στελέχη ποσοτικής εταιρείας συναλλαγών πλησίασαν συνεργάτες του Drift σε ένα μεγάλο συνέδριο κρυπτονομισμάτων. Ήξεραν τι έλεγαν: κατανοούσαν τον τρόπο λειτουργίας του πρωτοκόλλου, είχαν επαληθεύσιμα επαγγελματικά προφίλ και έθεσαν ερωτήματα που θα έκαναν οποιονδήποτε να τους πάρει στα σοβαρά. Δημιουργήθηκε ομάδα στο Telegram και ξεκίνησαν μήνες συζητήσεων για στρατηγικές συναλλαγών και ενσωμάτωση στο οικοσύστημα — ακριβώς όπως κάνουν οι νόμιμες εταιρείες όταν θέλουν να συνεργαστούν με μια πλατφόρμα DeFi.
Από τον Δεκέμβριο του 2025 ως τον Ιανουάριο του 2026, η ομάδα ενεργοποίησε ένα vault στο Drift, πραγματοποίησε πολλαπλές εργασιακές συνεδρίες με συνεργάτες της πλατφόρμας και κατέθεσε πάνω από ένα εκατομμύριο δολάρια δικά της κεφάλαια. Τον Φεβρουάριο και τον Μάρτιο, μέλη της ομάδας συναντήθηκαν πρόσωπο με πρόσωπο με ανθρώπους του Drift σε συνέδρια σε διάφορες χώρες. Όταν η επίθεση εκτελέστηκε την 1η Απριλίου 2026, η σχέση ήταν σχεδόν μισός χρόνος παλιά.
Η διείσδυση έγινε μέσα από δύο δρόμους. Ο ένας αφορούσε μια εφαρμογή που διανεμήθηκε μέσω TestFlight, της πλατφόρμας της Apple για δοκιμαστικές εφαρμογές που δεν περνούν από τον κανονικό έλεγχο του App Store. Η ομάδα την παρουσίασε ως δικό της προϊόν πορτοφολιού. Ο δεύτερος δρόμος εκμεταλλεύτηκε μια γνωστή ευπάθεια στους επεξεργαστές κώδικα VSCode και Cursor — δύο από τα πιο διαδεδομένα εργαλεία ανάπτυξης λογισμικού — όπου αρκούσε να ανοίξει κανείς ένα αρχείο για να εκτελεστεί κακόβουλος κώδικας χωρίς καμία προειδοποίηση.
Μόλις αποκτήθηκε πρόσβαση στις συσκευές, οι επιτιθέμενοι είχαν ό,τι χρειαζόταν για να εγκρίνουν δύο υπογραφές σε ένα multisig σύστημα — δηλαδή ένα σύστημα που απαιτεί πολλαπλές εγκρίσεις για να εκτελεστεί μια συναλλαγή, ακριβώς για λόγους ασφαλείας. Οι προ-υπογεγραμμένες συναλλαγές παρέμειναν αδρανείς για πάνω από μία εβδομάδα. Στη συνέχεια, σε λιγότερο από ένα λεπτό, αδειάστηκαν 270 εκατομμύρια δολάρια από τα vaults του πρωτοκόλλου.
Η απόδοση της επίθεσης δείχνει προς την ομάδα UNC4736, γνωστή και ως AppleJeus ή Citrine Sleet, η οποία συνδέεται με τις βορειοκορεατικές κρατικές υπηρεσίες. Σημαντική λεπτομέρεια: τα άτομα που εμφανίστηκαν φυσικά στα συνέδρια δεν ήταν Βορειοκορεάτες. Σε επιχειρήσεις αυτού του επιπέδου, χρησιμοποιούνται τρίτοι με πλήρως κατασκευασμένες ταυτότητες, ιστορικό εργασίας και επαγγελματικά δίκτυα που αντέχουν σε έλεγχο.
Το Drift κάλεσε άλλα πρωτόκολλα να ελέγξουν τους ελέγχους πρόσβασης και να αντιμετωπίζουν κάθε συσκευή που αγγίζει ένα multisig ως πιθανό στόχο. Το ερώτημα που μένει ανοιχτό είναι δύσκολο: αν κάποιος είναι διατεθειμένος να επενδύσει έξι μήνες και ένα εκατομμύριο δολάρια για να χτίσει αξιοπιστία μέσα σε ένα οικοσύστημα, ποιο σύστημα ασφαλείας μπορεί να το εντοπίσει;
