การปฏิบัติการข่าวกรองเป็นเวลาหกเดือน นำมาก่อนการแฮ็กมูลค่า $270 ล้านของ Drift Protocol และดำเนินการโดยกลุ่มที่มีความเกี่ยวข้องกับรัฐเกาหลีเหนือ ตามรายงานอัปเดตเหตุการณ์โดยละเอียดที่ทีมเผยแพร่ก่อนหน้านี้ในวันอาทิตย์
ผู้โจมตีเริ่มติดต่อครั้งแรกราวช่วงฤดูใบไม้ร่วงปี 2025 ในงานประชุมคริปโตรายใหญ่ โดยแนะนำตัวว่าตนเป็นบริษัทเทรดเชิงปริมาณ และต้องการบูรณาการเข้ากับ Drift
พวกเขามีความเชี่ยวชาญเชิงเทคนิค มีประวัติการทำงานระดับมืออาชีพที่พิสูจน์ได้ และเข้าใจว่าพิธีสารทำงานอย่างไร Drift ระบุ พวกเขาจัดตั้งกลุ่มบน Telegram และสิ่งที่ตามมาคือการสนทนากันอย่างมีสาระหลายเดือนเกี่ยวกับกลยุทธ์การเทรดและการบูรณาการกับ vault ซึ่งเป็นปฏิสัมพันธ์มาตรฐานสำหรับบริษัทเทรดที่ใช้กระบวนการออนบอร์ดกับพิธีสาร DeFi
ระหว่างเดือนธันวาคม 2025 ถึงเดือนมกราคม 2026 กลุ่มดังกล่าวออนบอร์ด Ecosystem Vault บน Drift จัดการประชุมเชิงปฏิบัติงานหลายครั้งกับผู้สนับสนุน ฝากเงินทุนของตนเองมากกว่า $1 ล้าน และสร้างสถานะการปฏิบัติงานที่ทำงานได้จริงภายในระบบนิเวศ
ผู้สนับสนุนของ Drift ได้พบปะบุคคลจากกลุ่มดังกล่าวแบบตัวต่อตัวในหลายงานประชุมอุตสาหกรรมครั้งสำคัญในหลายประเทศ ระหว่างเดือนกุมภาพันธ์และมีนาคม จนกระทั่งการโจมตีเริ่มต้นในวันที่ 1 เมษายน ความสัมพันธ์มีอายุเกือบครึ่งปีแล้ว
การประนีประนอมดังกล่าวดูเหมือนจะมาจากสองช่องทาง
ช่องทางที่สองดาวน์โหลดแอป TestFlight ซึ่งเป็นแพลตฟอร์มของ Apple สำหรับการแจกจ่ายแอปก่อนวางจำหน่ายที่ข้ามการตรวจสอบความปลอดภัยของ App Store ซึ่งกลุ่มได้นำเสนอว่าเป็นผลิตภัณฑ์วอลเล็ตของพวกเขา
สำหรับช่องทางของ repository นั้น Drift ชี้ไปที่ช่องโหว่ที่เป็นที่รู้จักใน VSCode และ Cursor ซึ่งเป็นหนึ่งในโปรแกรมแก้ไขโค้ดที่ได้รับความนิยมมากที่สุด 2 รายการในการพัฒนาซอฟต์แวร์ ที่ชุมชนด้านความปลอดภัยได้ส่งสัญญาณมาตั้งแต่ปลายปี 2025 โดยการเพียงแค่เปิดไฟล์หรือโฟลเดอร์ในโปรแกรมแก้ไขก็เพียงพอที่จะรันโค้ดตามอำเภอใจแบบเงียบๆ โดยไม่ต้องมีการยืนยันหรือคำเตือนใดๆ
เมื่ออุปกรณ์ถูกบุกรุกแล้ว ผู้โจมตีก็มีสิ่งที่จำเป็นในการขอการอนุมัติแบบ multisig สองขั้นตอน ซึ่งทำให้เกิดการโจมตี durable nonce ที่ CoinDesk รายละเอียดไว้ก่อนหน้านี้ในสัปดาห์นี้ ทรานแซกชันที่เตรียมลงนามล่วงหน้าไว้เหล่านั้นคงอยู่อย่างนิ่งเฉยมากกว่าหนึ่งสัปดาห์ ก่อนจะถูกดำเนินการในวันที่ 1 เมษายน ทำให้เงิน $270 ล้านไหลออกจาก vault ของโปรโตคอลภายในเวลาไม่ถึงหนึ่งนาที
การระบุตัวชี้เป้าโยงไปยัง UNC4736 ซึ่งเป็นกลุ่มที่มีความเกี่ยวข้องกับรัฐเกาหลีเหนือ และยังถูกติดตามในชื่อ AppleJeus หรือ Citrine Sleet โดยอ้างอิงจากทั้งกระแสเงินบนเชนที่ไล่ย้อนกลับไปยังผู้โจมตี Radiant Capital และความทับซ้อนด้านปฏิบัติการกับตัวตนที่เชื่อมโยงกับ DPRK ที่เป็นที่รู้จัก
อย่างไรก็ตาม บุคคลที่ปรากฏตัวแบบตัวต่อตัวในงานประชุม ไม่ได้เป็นพลเมืองเกาหลีเหนือ ผู้กระทำภัยคุกคามจาก DPRK ในระดับนี้เป็นที่รู้จักกันดีในการใช้บุคคลกลางบุคคลที่สาม โดยมีตัวตนที่ถูกสร้างขึ้นอย่างครบถ้วน ประวัติการทำงาน และเครือข่ายทางวิชาชีพที่ถูกประกอบสร้างมาเพื่อให้ทนต่อการตรวจสอบสถานะอย่างรอบคอบ
Drift กระตุ้นให้โปรโตคอลอื่นๆ ตรวจสอบการควบคุมการเข้าถึง และปฏิบัติต่ออุปกรณ์ทุกเครื่องที่แตะ multisig เป็นเป้าหมายที่อาจถูกโจมตี นัยที่กว้างกว่านั้นไม่สบายใจสำหรับอุตสาหกรรมที่พึ่งพา governance แบบ multisig เป็นแบบจำลองความปลอดภัยหลัก
แต่หากผู้โจมตีเต็มใจใช้เวลาหกเดือนและเงินหนึ่งล้านดอลลาร์ในการสร้างสถานะที่ดูชอบด้วยกฎหมายภายในระบบนิเวศ พบทีมแบบตัวต่อตัว มีส่วนร่วมด้วยเงินทุนจริง และรออยู่ แล้วคำถามคือ โมเดลความปลอดภัยแบบใดที่ถูกออกแบบมาเพื่อจับพฤติกรรมแบบนี้ได้
