Drift mengatakan eksploitasi senilai $270 juta itu merupakan operasi intelijen Korea Utara selama enam bulan

Operasi intelijen berdurasi enam bulan yang mendahului eksploitasi senilai $270 juta terhadap Drift Protocol dilakukan oleh sebuah kelompok yang berafiliasi dengan negara Korea Utara, menurut pembaruan insiden terperinci yang dipublikasikan tim pada Minggu sebelumnya.

Para penyerang pertama kali melakukan kontak sekitar musim gugur 2025 pada sebuah konferensi kripto besar, dengan memperkenalkan diri sebagai perusahaan perdagangan kuantitatif yang ingin berintegrasi dengan Drift.

Mereka mampu secara teknis, memiliki latar belakang profesional yang dapat diverifikasi, dan memahami bagaimana protokol itu beroperasi, kata Drift. Sebuah grup Telegram dibentuk dan yang terjadi berikutnya adalah berbulan-bulan percakapan substansial seputar strategi perdagangan dan integrasi vault, interaksi yang lazim untuk bagaimana perusahaan perdagangan melakukan onboarding dengan protokol DeFi.

Antara Desember 2025 dan Januari 2026, grup tersebut mengontrak/mengonfigurasi sebuah Ecosystem Vault di Drift, mengadakan beberapa sesi kerja dengan para kontributor, menyetor lebih dari $1 juta modal mereka sendiri, dan membangun kehadiran operasional yang berfungsi di dalam ekosistem.

Kontributor Drift bertemu langsung dengan individu-individu dari grup tersebut di beberapa konferensi industri besar di beberapa negara hingga Februari dan Maret. Pada saat serangan diluncurkan pada 1 April, hubungan tersebut sudah hampir setengah tahun.

Komprominya tampaknya berasal dari dua vektor.

Satu pihak mengunduh aplikasi TestFlight, platform Apple untuk mendistribusikan aplikasi pra-rilis yang melewati peninjauan keamanan App Store, yang diperkenalkan oleh grup tersebut sebagai produk dompet (wallet) mereka.

Untuk vektor repositori, Drift menunjuk pada kerentanan yang diketahui di VSCode dan Cursor, dua editor kode yang paling banyak digunakan dalam pengembangan perangkat lunak, yang terus dipantau oleh komunitas keamanan sejak akhir 2025—di mana hanya dengan membuka sebuah file atau folder di editor saja sudah cukup untuk mengeksekusi kode arbitrer secara diam-diam tanpa prompt atau peringatan apa pun.

Setelah perangkat dikompromikan, para penyerang memiliki apa yang mereka butuhkan untuk memperoleh dua persetujuan multisig yang memungkinkan serangan durable nonce yang CoinDesk jelaskan lebih awal minggu ini. Transaksi yang sudah ditandatangani sebelumnya itu tidak aktif selama lebih dari seminggu sebelum dieksekusi pada 1 April, menguras $270 juta dari vault-vault protokol dalam waktu kurang dari satu menit.

Atribusi mengarah ke UNC4736, sebuah kelompok yang berafiliasi dengan negara Korea Utara yang juga dilacak sebagai AppleJeus atau Citrine Sleet, berdasarkan aliran dana di-chain yang menelusuri kembali ke penyerang Radiant Capital serta tumpang tindih operasional dengan persona yang diketahui terkait DPRK.

Namun, individu-individu yang tampak hadir langsung di konferensi bukanlah warga negara Korea Utara. Aktor ancaman DPRK pada level ini diketahui menggunakan perantara pihak ketiga dengan identitas yang sepenuhnya dibangun, riwayat pekerjaan, dan jaringan profesional yang dirancang untuk tahan terhadap uji kelayakan (due diligence).

Drift mendesak protokol lain untuk mengaudit kontrol akses dan memperlakukan setiap perangkat yang menyentuh multisig sebagai target potensial. Implikasi yang lebih luas adalah hal yang tidak nyaman bagi sebuah industri yang bergantung pada tata kelola multisig sebagai model keamanan utamanya.

Namun, jika para penyerang bersedia menghabiskan enam bulan dan satu juta dolar untuk membangun kehadiran yang sah di dalam sebuah ekosistem, bertemu tim secara langsung, berkontribusi dengan modal nyata, dan menunggu, maka pertanyaannya adalah: model keamanan seperti apa yang dirancang untuk menangkap hal itu.