Historia tego, jak północnokoreańscy hakerzy państwowi wykradli 285 milionów dolarów z Drift Protocol w prima aprilis 2026, nie zaczyna się od linii złośliwego kodu. Zaczyna się na konferencji kryptowalutowej gdzieś jesienią 2025 roku, od uścisku dłoni.
To szczegół, który sprawia, że to najniepokojący hack DeFi roku i być może najbardziej wyrafinowana operacja inżynierii społecznej w historii kryptowalut. Atakujący, przypisani z średnio wysokim poziomem pewności do północnokoreańskiej grupy państwowej znanej jako UNC4736 (znanej również jako AppleJeus lub Citrine Sleet), nie włamał się na siłę. Spędzili sześć miesięcy na budowaniu prawdziwych relacji międzyludzkich w zespole Drift.
Podręcznik był skrupulatny. Udając legalną firmę zajmującą się handelami ilościowymi, podeszli do uczestników Drift na wielu dużych konferencjach branżowych w różnych krajach w późnym 2025 roku i na początku 2026 roku. Byli technicznie biegli. Zadawali mądre pytania o strategie handlowe i architekturę protokołów. Wpłacili ponad 1 milion dolarów własnych środków, aby ustanowić wiarygodność. Utworzono grupę na Telegramie, spotkania odbywały się osobiście, a przez miesiące rzeczowych rozmów stali się z perspektywy Drift zaufanymi partnerami roboczymi.
Wtedy pojawiła się cicha infekcja. Śledczy zidentyfikowali dwa prawdopodobne wektory ataku: jeden z uczestników mógł sklonować złośliwe repozytorium kodu, które grupa dzieliła, przebrane za narzędzie frontendowe dla ich skarbca. Inny został rzekomo oszukany, aby pobrać aplikację portfelową przez TestFlight Apple'a, narzędzie, które, ironicznie, również zostało użyte do usunięcia Bitchat z Chin w tym tygodniu. Samo otwarcie pliku w folderze VS Code wystarczyło, aby cicho wykonać kod i dać napastnikom zdalny dostęp. Brak ostrzeżenia. Brak komunikatu. Tylko skompromitowane urządzenie.
1 kwietnia, wykorzystując wstępnie podpisane transakcje multisig, które leżały uśpione przez ponad tydzień, napastnicy zrealizowali drain w około 12 minut. 285 milionów dolarów zniknęło. Większość z tego została przeniesiona do Ethereum w ciągu kilku godzin. Token DRIFT załamał się o ponad 40%. Grupa na Telegramie i całe związane złośliwe oprogramowanie zostały natychmiast usunięte. "firma handlowa" zniknęła.
Eksperci ds. bezpieczeństwa są bezpośredni w tym, co to oznacza: poleganie DeFi na multisig governance, długo uważane za złoty standard bezpieczeństwa, może nie być wystarczające, gdy przeciwnik jest gotów wydać sześć miesięcy i milion dolarów, aby najpierw stać się twoim kolegą. "Zespoły kryptograficzne stają obecnie w obliczu przeciwników, którzy działają bardziej jak jednostki wywiadowcze niż hakerzy," zauważyła jedna firma zajmująca się bezpieczeństwem blockchain. To niewygodna rzeczywistość, ale z którą branża musi się zmierzyć.