Naglabas ang Drift Protocol (DRIFT) ng masinsinang incident update nitong April 5 at sinabi na ang $285 million na exploit noong April 1 ay resulta ng anim na buwang matinding intelligence operation na ginagawa ng mga North Korean state-backed na hacker.
Grabe ang style ng social engineering na ginawa dito, lampas pa sa normal na phishing o recruiter scam. May mga actual na pagkikita, totoong pera na inilagay, at ilang buwan na pagbuo ng tiwala.
Pepeke Lang: Peke Palang Trading Firm, Matagal Nang Nangloloko
Ayon sa Drift, isang grupo na nagkunwaring quantitative trading firm ang unang lumapit sa mga contributor nila sa isang malaking crypto conference nung kalagitnaan ng 2025.
Sa sumunod na mga buwan, dumalo ang mga taong ito sa iba’t ibang event sa iba’t ibang bansa, nagkaroon ng work sessions, at tuloy-tuloy [nag-usap sa Telegram tungkol sa vault integrations](https://beincrypto.com/russia-vpn-crackdown-telegram-payments-affected/).
I-follow kami sa X para lagi kang updated sa mga balita habang nangyayari
Mula December 2025 hanggang January 2026, nag-onboard ang grupo ng isang Ecosystem Vault sa Drift, nag-deposit ng higit $1 million na kapital, at nag-participate sa mga malalalim na produktong diskusyon.
Pagsapit ng March, ilang beses ng naka-face-to-face ng mga Drift contributors ang grupo.
“…ang mga pinakadelikadong hacker, hindi mo aakalain na hacker sila,” comment ni crypto developer Gautham.
Pati mga Web security experts, nashock dito. Ayon sa researcher na si Tay, ang una niyang akala recruiter scam lang ito, pero mas alarming pala dahil sobrang lalim ng operation.
Paano Nahack ang mga Device
Natukoy ng Drift na may tatlong posibleng entry point ang mga hacker:
- May isang contributor na nag-clone ng code repository na pinasa sa kanila ng grupo para sa vault frontend.
- May isa pang contributor na nagdownload ng TestFlight app na pinakilala bilang wallet product.
- Para sa repository vector, tinukoy ng Drift ang existing vulnerability sa VSCode at Cursor na noon pa 2025 hinahaylight na ng mga security researcher.
Nagbigay-daan ang butas na ‘yon para mag-execute ng kahit anong code agad-agad kapag binuksan ang isang file o folder sa editor — kahit walang ginagawa ang user.
Pagkatapos ng [drain nitong April 1](https://beincrypto.com/solana-drift-protocol-exploit-token-crash/), nilinis ng mga attacker lahat ng Telegram chat at masamang software. Nag-freeze na rin ang Drift ng mga natitirang protocol function at inalis ang mga compromised na wallet sa multisig.
Sinabi ng SEALS 911 team na may medium-high na kumpiyansa sila na kaparehong grupo rin ang responsable sa Radiant Capital hack noong October 2024, na [ikinonekta ng Mandiant sa UNC4736](https://beincrypto.com/north-korea-radiant-capital-hack/).
Nag-match rin ang on-chain fund flows at operasyon ng parehong campaign, kaya mukhang related talaga sila.
Crypto Industry Humihirit ng Panibagong Security Reset
Nanawagan ang kilalang Solana developer na si Armani Ferrante sa lahat ng crypto team na mag-pause muna ng paglago at i-audit ang buong security stack nila.
“Dapat gamitin ng bawat crypto team ito bilang pagkakataon para huminto muna at tutukan talaga ang security. Kung kaya nyo, mag-assign ng buong team sa security lang… hindi rin kayo lalago kung mahahack kayo,” sabi ni Ferrante.
Nilinaw ng Drift na hindi North Korean ang mga taong naka-face-to-face nila. Sa level na ito, kilala ang DPRK threat actors na gumagamit ng third-party para sila na ang humarap at kausap sa personal.
Kumuha rin ang Drift ng tulong mula sa Mandiant para sa device forensics, pero hindi pa sila naglalabas ng official na attribution para sa exploit.
Babala ito hindi lang sa Drift kundi sa buong blockchain ecosystem. Nagbigay ng tips ang Drift na dapat i-audit ng lahat ng team ang access controls, siguraduhing protektado lahat ng device na ginagamit sa multisig, at dapat agad mag-contact sa SEAL 911 kung may kahalintulad kang suspetsa.
