Zes maanden durend DPRK-complot achter $285M-exploit van Drift schokt cryptogemeenschap

Drift Protocol heeft een gedetailleerde achtergrondupdate vrijgegeven na de 1 april exploit die resulteerde in meer dan $285M aan verliezen, en biedt nieuw inzicht in hoe de aanval werd georkestreerd en waarom de impact veel verder reikte dan een enkel protocol.

Het incident, dat nu met "medium-high confidence" in verband wordt gebracht met een aan de Noord-Koreaanse staat gelieerde bedreigingsgroep, heeft niet alleen serieuze vragen opgeroepen over de operationele beveiligingspraktijken bij DeFi, maar viel ook samen met een scherpe daling van de totale waarde die Solana had afgesloten. In de dagen na de exploit daalde de TVL van Solana van $6,34B naar $5,55B, een daling van ongeveer 12,5%.

Als we de gestolen fondsen buiten beschouwing laten, weerspiegelt de netto daling van ongeveer 8% een betekenisvolle verschuiving in het vertrouwen van de gebruiker, hoewel het onder de historische gemiddelden blijft die na grote exploits worden waargenomen.

Een zes maanden durende infiltratiecampagne

Volgens de update van Drift van 5 april was de exploit niet het resultaat van een enkele kwetsbaarheid, maar van een gestructureerde operatie die zich over meerdere maanden uitstrekte.

De aanval begon in de herfst van 2025, toen individuen die zich voordeden als een kwantitatieve handelsfirma Drift-medewerkers benaderden op een cryptoconferentie. In de daaropvolgende zes maanden onderhielden deze personen consequent contact, waarbij ze medewerkers persoonlijk ontmoetten op meerdere wereldwijde branche-evenementen.

Ze toonden sterke technische kennis, presenteerden geloofwaardige professionele achtergronden en gingen gedetailleerde discussies aan over handelsstrategieën en integratie van kluizen. Deze interacties weerspiegelden het typische onboardinggedrag voor handelshuizen, waardoor de relatie zich kon ontwikkelen zonder onmiddellijk argwaan te wekken.

Tussen december 2025 en januari 2026 verdiepte de groep zijn betrokkenheid door een Ecosystem Vault te onboarden op Drift, deel te nemen aan werksessies en meer dan $1M aan kapitaal in het protocol te storten. Deze activiteit zorgde voor operationele legitimiteit en versterkte het vertrouwen.

Gedurende de relatie deelde de groep links naar tools, applicaties en opslagplaatsen als onderdeel van standaard integratieworkflows. Deze interacties stonden later centraal in het onderzoek.

De waarschijnlijke aanvalsvectoren

De voorlopige bevindingen van Drift wijzen op twee primaire inbraakroutes.

Eén medewerker werd mogelijk gecompromitteerd na het klonen van een code repository gekoppeld aan een vault frontend die de aanvallers deelden. Een andere medewerker downloadde naar verluidt een TestFlight-applicatie die werd voorgesteld als het portemonnee product van de groep.

Beveiligingsonderzoekers hebben ook een mogelijk verband opgemerkt met een bekend beveiligingslek in ontwikkelomgevingen zoals VSCode en Cursor eind 2025 en begin 2026. Deze kwetsbaarheid maakte willekeurige code-uitvoering mogelijk door eenvoudigweg een kwaadaardige repository te openen, zonder dat interactie van de gebruiker nodig was.

Na het misbruik bleek uit forensisch onderzoek dat de communicatiekanalen en kwaadaardige software van de aanvallers snel werden gewist, wat duidt op een gecoördineerde inspanning om sporen te verwijderen.

Dreigingsevaluatie en reactie

Onderzoekers, waaronder het SEAL 911 team, beoordeelden met middelhoge betrouwbaarheid dat de operatie zowel op de keten als operationeel overeenkomsten vertoont met de Radiant Capital hack van oktober 2024. Dat incident werd eerder toegeschreven aan UNC4736, een aan de Noord-Koreaanse staat gelieerde groep die ook bekend staat als AppleJeus of Citrine Sleet.

Drift verduidelijkte dat individuen die Drift medewerkers persoonlijk ontmoetten waarschijnlijk tussenpersonen waren in plaats van directe leden van de dreigersgroep. Dit komt overeen met bekende tactieken waarbij aan de staat gelinkte actoren derden inzetten om relaties op te bouwen en social engineering-campagnes uit te voeren.

Mandiant is ingeschakeld om een volledig forensisch onderzoek uit te voeren, hoewel het nog wachten is op de formele toeschrijving.

Na de exploit heeft Drift alle resterende protocolfuncties bevroren en gecompromitteerde wallets verwijderd uit zijn multisig. Het team heeft ook adressen van aanvallers gemarkeerd bij exchanges en bridge operators om de geldstroom te beperken.

Het protocol werkt momenteel samen met wetshandhavings- en beveiligingspartners om het onderzoek voort te zetten en herstelopties te beoordelen.

Reacties uit de industrie benadrukken bezorgdheid over beveiliging

Het incident leidde tot wijdverspreide commentaren van industrieleiders, van wie velen de behoefte aan sterkere operationele beveiligingsstandaarden benadrukten.

Lucas Bruder, medeoprichter en CEO van Jito Labs, verklaarde dat de gebeurtenis het gedrag in de sector zou veranderen en voegde eraan toe dat deelnemers in de sector niet "paranoïde genoeg" zijn geweest.

Jacob Creech, Vice President of Technology bij de Solana Foundation, benadrukte strenge beveiligingspraktijken en adviseerde teams om geen onbekende applicaties te installeren, speciale ondertekeningsapparaten te gebruiken en hun huidige setups opnieuw te evalueren.

Medeoprichter van Solana , Anatoly Yakovenko, sloot zich hierbij aan en beschreef de aanval als "angstaanjagend" en adviseerde een fysieke scheiding aan te brengen tussen ontwikkel- en ondertekenomgevingen, inclusief speciale hardware voor elke functie.

Een onchain-onderzoeker die bekend staat als Tay merkte op dat Noord-Koreaanse IT-medewerkers hebben bijgedragen aan het bouwen van cryptoprotocollen die teruggaan tot de DeFi zomer, en noemde SushiSwap, THORChain, Harmony, Ankr, Shib en Yearn.

Ze voegden eraan toe dat claims van "7 jaar blockchain dev ervaring" op de cv's van zulke acteurs niet als vals mogen worden afgedaan.

Stepan Simkin, CEO van Squads Protocol, wees op de behoefte aan formele operationele beveiligingsstandaarden en stelde raamwerken voor die vergelijkbaar zijn met code-audits of SOC2-certificeringen voor protocolbeheer.

Debat over verantwoordelijkheid en nalatigheid

Niet alle reacties waren sympathiek. Ariel Givner, een juridisch expert, stelde dat het incident civiele nalatigheid kan zijn. Ze bekritiseerde de vermenging van ontwikkelingsactiviteiten met toegang tot kritieke systemen, evenals het gebrek aan basiswaarborgen zoals luchtdichte ondertekeningsomgevingen.

De opmerkingen van Givner weerspiegelen een breder maatschappelijk debat over aansprakelijkheid en of protocollen verantwoordelijk moeten worden gehouden voor vermijdbare operationele fouten.

Simon Dedic, oprichter en Managing Partner van Moonrock Capital, suggereerde daarentegen dat de geavanceerdheid van de aanvallers preventie extreem moeilijk maakte toen Drift eenmaal een doelwit werd.

Een bredere verschuiving in beveiligingsdenken

Anderen plaatsten het incident in een bredere industriële context.

Lily Liu, voorzitter van de Solana Foundation, merkte op dat smart contracts weliswaar presteerden zoals verwacht, maar dat aanvallers zich steeds meer richten op menselijke kwetsbaarheden in plaats van op code.

Redwan Meslem, uitvoerend directeur van de Enterprise Ethereum Alliance, trok vergelijkingen met traditionele industrieën zoals de luchtvaart en het bankwezen, waar strenge toegangscontroles en beveiligingsprotocollen standaard zijn. Hij stelde dat crypto nog steeds werkt met een beveiligingscultuur op startup-niveau, ondanks het beheren van aanzienlijke financiële risico's.

Terwijl het onderzoek wordt voortgezet, blijft de bredere les duidelijk. Beveiliging in DeFi moet verder gaan dan code en ook rigoureuze operationele standaarden, gecontroleerde omgevingen en een herbeoordeling van hoe vertrouwen tot stand komt in een steeds vijandiger landschap omvatten.

Lees meer op SolanaFloor

Titan Exchange belooft 4x betere prestaties dan Binance door nieuwe DART-router
$BTC houdt $69k terwijl gesprekken VS-Iran over staakt-het-vuren op niets uitlopen

Drift Protocol gehackt voor $285 miljoen