Drift Protocol (DRIFT) julkaisi 5. huhtikuuta yksityiskohtaisen raportin tapahtuneesta, jossa kerrottiin 285 miljoonan dollarin hyväksikäytön 1. huhtikuuta johtuneen kuusi kuukautta kestäneestä tiedusteluoperaatiosta, jonka toteuttajiksi on yhdistetty Pohjois-Korean valtiolliset toimijat.
Ilmoituksessa kuvattu sosiaalinen manipulointi ylittää selvästi tavanomaiset tietojenkalastelut tai rekrytoijien huijaukset, sisältäen henkilökohtaisia tapaamisia, oikean pääoman käyttöönottoa sekä kuukausia kestäneen luottamuksen rakentamisen.
Väärennetty kaupankäyntiyritys, joka pelasi pitkää peliä
Driftin mukaan ryhmä, joka esiintyi kvantitatiivisena kaupankäyntifirmana, otti ensimmäisen kerran yhteyttä projektin tekijöihin suuressa kryptotapahtumassa syksyllä 2025.
Seuraavien kuukausien aikana nämä henkilöt vierailivat useissa tapahtumissa eri maissa, järjestivät työpajoja ja jatkoivat Telegram-keskusteluja vault-integraatioista.
Seuraa meitä X:ssä saadaksesi viimeisimmät uutiset reaaliajassa
Joulukuun 2025 ja tammikuun 2026 aikana ryhmä otti käyttöön Ekosysteemin vaultin Driftissä, tallettivat yli 1 miljoona dollaria pääomaa sekä osallistuivat yksityiskohtaisiin tuotekeskusteluihin.
Maaliskuuhun mennessä Driftin tekijät olivat tavanneet nämä henkilöt kasvotusten useita kertoja.
“…vaarallisimmat hakkerit eivät näytä hakkereilta”, kommentoi krypto-kehittäjä Gautham.
Myös Webin turvallisuusasiantuntijat pitävät tapausta huolestuttavana. Tutkija Tay kertoi odottaneensa alun perin tavallista rekrytoija-huijausta, mutta yllättyi operaation vakavuudesta.
Miten laitteet joutuivat vaaraan
Drift tunnisti kolme todennäköistä hyökkäysreittiä:
- Yksi tiimiläinen kloonasi koodivaraston, jonka ryhmä oli jakanut vaultin käyttöliittymän tekemistä varten.
- Toinen latasi TestFlight-sovelluksen, jonka esiteltiin olevan lompakko-tuote.
- Varastoreitin osalta Drift viittasi tunnettuun VSCode- ja Cursor-haavoittuvuuteen, jonka turvallisuustutkijat olivat nostaneet esiin jo vuoden 2025 lopulla.
Tämä haavoittuvuus mahdollisti mielivaltaisen koodin hiljaisen suorittamisen heti, kun tiedosto tai kansio avattiin editorissa, ilman käyttäjän toimenpiteitä.
1. huhtikuuta tapahtuneen rahojen katoamisen jälkeen hyökkääjät poistivat kaikki Telegram-keskustelut ja haittaohjelmat. Drift on sittemmin jäädyttänyt protokollan toimintoja ja poistanut vaarantuneet lompakot multisigistä.
SEALS 911 -tiimi arvioi keskitasolla vahvalla luottamuksella, että samat uhkatoimijat olivat myös lokakuussa 2024 toteutetun Radiant Capital -hyökkäyksen takana, jonka Mandiant liitti UNC4736-ryhmään.
Lohkoketjussa nähdyt rahavirrat sekä operatiiviset yhteneväisyydet kahden kampanjan välillä tukevat yhteyttä.
Ala vaatii turvallisuuden uudelleenkäynnistystä
Armani Ferrante, tunnettu Solana-kehittäjä, kehotti jokaista kryptoryhmää pysäyttämään kasvupyrkimykset ja tarkastamaan koko turvallisuuskokonaisuuden.
“Jokaisen kryptotiimin tulisi käyttää tätä hetkeä hidastaakseen ja keskittyäkseen turvallisuuteen. Mikäli mahdollista, omistakaa sille kokonainen tiimi… kasvu on mahdotonta, jos joudut hakkeroiduksi”, totesi Ferrante.
Drift painotti, ettei kasvotusten tavatuilla henkilöillä ollut pohjoiskorealaista taustaa. DPRK:n tason uhkatoimijat käyttävät usein kolmannen osapuolen välittäjiä henkilökohtaisessa kohtaamisessa.
Driftin mukaan Mandiant, joka tutkii laitteiden forensiikkaa, ei ole vielä virallisesti liittänyt hyväksikäyttöä tiettyyn ryhmään.
Ilmoitus toimii varoituksena koko ekosysteemille. Drift kehotti tiimejä tarkistamaan käyttöoikeudet, suhtautumaan jokaiseen multisig-laitteeseen potentiaalisena uhkana sekä ottamaan yhteyttä SEAL 911:een, jos vastaavaa kohdistamista epäillään.
