Wat aanvankelijk leek op een plotselinge exploit is nu onthuld als een langetermijnoperatie met een hoge mate van coördinatie. Drift Protocol heeft bekendgemaakt dat de hack van $270 miljoen het resultaat was van een zes maanden durende infiltratiecampagne, naar verluidt gekoppeld aan Noord-Koreaanse staatsactoren.
In plaats van het uitbuiten van een eenvoudige kwetsbaarheid, bouwden de aanvallers langzaam vertrouwen op door zich voor te doen als een legitiem kwantitatief handelsbedrijf en zich in het ecosysteem te nestelen. Hun aanpak ging verder dan digitale misleiding. Ze benaderden bijdragers rechtstreeks, woonden cryptoconferenties bij en bouwden relaties op die op elk niveau geloofwaardig leken.
Dit was geen snelle overval. Het was berekend, geduldig en ontworpen om niet alleen technische verdedigingen te omzeilen, maar ook menselijk vertrouwen.
Eerste Contact Begint Op Cryptoconferenties
De operatie begon naar verluidt in het najaar van 2025, toen de aanvallers eerste contact maakten op een grote cryptoconferentie. Op dat moment waren er geen directe alarmsignalen. De groep presenteerde zich als technisch bekwame professionals met verifieerbare achtergronden.
Ze spraken de taal van DeFi vloeiend en toonden een diepgaand begrip van Drift's infrastructuur en handelsmechanismen. Dit niveau van expertise hielp hen naadloos op te gaan tussen legitieme bijdragers en partners.
Kort daarna verplaatste de communicatie zich naar Telegram, waar discussies meerdere maanden werden voortgezet. Deze interacties waren niet gehaast of verdacht. In plaats daarvan weerspiegelden ze het ritme van echte samenwerking, compleet met technische discussies, strategische input en voortdurende betrokkenheid.
Door consistentie en geloofwaardigheid te behouden, bouwden de aanvallers geleidelijk vertrouwen op binnen de gemeenschap.
Vertrouwen Opbouwen Door Kapitaal En Samenwerking
Tegen januari 2026 had de groep hun betrokkenheid nog verder opgevoerd. Ze hadden met succes een Ecosystem Vault geïntegreerd en begonnen deel te nemen aan werksessies samen met Drift-bijdragers.
Cruciaal was dat ze ook echt kapitaal inbrachten door meer dan $1 miljoen van hun eigen fondsen in het protocol te storten. Deze stap versterkte hun legitimiteit en gaf aan dat ze echt betrokken waren.
Gedurende februari en maart ontmoetten leden van het Drift-ecosysteem deze personen persoonlijk in meerdere landen. Deze face-to-face interacties voegden een extra laag vertrouwen toe, waardoor het nog minder waarschijnlijk werd dat hun bedoelingen in twijfel zouden worden getrokken.
Tegen de tijd dat de aanval werd uitgevoerd, was de relatie tussen de aanvallers en de gemeenschap al bijna zes maanden opgebouwd. Het was een niveau van infiltratie dat zelden wordt gezien bij DeFi-exploits.
Aanvalsuitvoering Maakte Gebruik Van Geavanceerde Toegangspunten
Toen de compromittering uiteindelijk plaatsvond, gebeurde dit via twee zeer gerichte vectoren.
De eerste betrof een kwaadaardige TestFlight-applicatie, gepresenteerd als een legitiem walletproduct. Dit stelde de aanvallers in staat om toegang te krijgen tot apparaten van bijdragers onder het mom van het testen van nieuwe tools.
De tweede vector maakte gebruik van een bekende kwetsbaarheid in ontwikkelomgevingen zoals VSCode en Cursor. Deze fout, maanden eerder gesignaleerd door de beveiligingsgemeenschap, maakte het mogelijk om willekeurige code uit te voeren door simpelweg een bestand te openen.
Samen stelden deze methoden de aanvallers in staat om belangrijke apparaten te compromitteren zonder direct verdenking op te wekken. Eenmaal binnen konden ze toegang krijgen tot gevoelige workflows en goedkeuringsmechanismen.
Deze fase van de operatie benadrukt een cruciale verschuiving in aanvalsstrategieën. In plaats van smart contracts rechtstreeks aan te vallen, richten aanvallers zich steeds meer op de menselijke en toolinglagen eromheen.
Multisig-Zwaktes Blootgelegd In Definitieve Drainage
Met toegang verzekerd, gingen de aanvallers over naar de laatste fase: uitvoering.
Ze verkregen twee multisig-goedkeuringen, die vervolgens werden gebruikt om transacties te autoriseren. Opmerkelijk genoeg waren deze transacties vooraf ondertekend en meer dan een week sluimerend gelaten, waardoor directe detectie werd vermeden.
Op 1 april gingen de aanvallers over tot actie. In minder dan een minuut werd ongeveer $270 miljoen uit Drift's vaults geleegd.
De snelheid en precisie van de uitvoering lieten weinig ruimte voor interventie. Tegen de tijd dat de transacties werden herkend, waren de fondsen al verplaatst.
Drift heeft sindsdien gewaarschuwd dat dit incident fundamentele zwaktes in multisig-gebaseerde beveiligingsmodellen blootlegt. Hoewel multisig-systemen zijn ontworpen om vertrouwen te verdelen, blijven ze kwetsbaar wanneer ondertekenaars zelf gecompromitteerd zijn.
Verbanden Met Noord-Koreaanse Staatsactoren Komen Aan Het Licht
Onderzoeken naar de aanval hebben de operatie gekoppeld aan UNC4736, een groep ook bekend als AppleJeus of Citrine Sleet. Deze entiteit wordt algemeen geassocieerd met Noord-Koreaanse cyberoperaties en is in verband gebracht met eerdere spraakmakende exploits, waaronder de Radiant Capital-aanval.
Interessant genoeg werden de personen die rechtstreeks met Drift-bijdragers communiceerden niet geïdentificeerd als Noord-Koreaanse staatsburgers. In plaats daarvan lijken het tussenpersonen te zijn geweest, uitgerust met zorgvuldig geconstrueerde identiteiten die ontworpen waren om nauwkeurig onderzoek te doorstaan.
Deze gelaagde aanpak maakt attributie complexer terwijl het de effectiviteit van de operatie verhoogt. Door de actoren ter plaatse te scheiden van de coördinerende entiteit, konden de aanvallers gedurende de hele infiltratie een plausibele legitimiteit handhaven.
Een Wake-Up Call Voor DeFi-Beveiligingsmodellen
De Drift-exploit dwingt de industrie om een ongemakkelijke realiteit onder ogen te zien. Traditionele beveiligingsmodellen, gericht op code-audits, smart contract-kwetsbaarheden en multisig-bescherming, zijn mogelijk niet voldoende om te verdedigen tegen tegenstanders die bereid zijn om tijd, geld en menselijke middelen te investeren.
Als aanvallers zes maanden kunnen besteden aan het opbouwen van relaties, kapitaal kunnen inzetten om vertrouwen te winnen en fysiek kunnen afspreken met teams, reikt het aanvalsoppervlak veel verder dan alleen code.
Dit roept een cruciale vraag op voor het DeFi-ecosysteem: wat voor soort beveiligingsframework kan dit niveau van infiltratie detecteren en voorkomen?
Voorlopig staat het incident bekend als een van de meest geavanceerde social-engineering-gedreven exploits in de cryptogeschiedenis. Het onderstreept de noodzaak van een meer holistische beveiligingsbenadering, een die rekening houdt met menselijk gedrag, operationele processen en de steeds vager wordende grenzen tussen online en offline interacties.
Naarmate protocollen blijven groeien en meer kapitaal aantrekken, zullen de inzetten alleen maar stijgen. En zoals deze zaak laat zien, komt de volgende generatie aanvallen misschien niet van anonieme wallets, maar van vertrouwde partners die aan tafel zitten.
Disclaimer: Dit is geen handels- of beleggingsadvies. Doe altijd je eigen onderzoek voordat je cryptocurrency koopt of in diensten investeert.
Volg ons op Twitter @nulltxnews om op de hoogte te blijven van het laatste Crypto-, NFT-, AI-, Cybersecurity-, Distributed Computing- en Metaverse-nieuws!
Bron: https://nulltx.com/north-korea-linked-group-behind-270m-drift-hack-six-month-plot-revealed/
