Drift hack van $285 miljoen gelinkt aan Noord-Koreaanse staatsgroep
Last Updated on 5 april 2026 by CryptoTips.eu
De hack op Drift Protocol blijkt geen opportunistische aanval te zijn geweest, maar een zorgvuldig voorbereide operatie van zes maanden. Op 1 april 2026 verdwijnt $285 miljoen uit de vaults van het op Solana gebaseerde protocol. Drift deelt nu de eerste forensische bevindingen, en die zijn ronduit alarmerend.
- 🎁 Claim gratis €10 aan crypto bij Bitvavo (vrij te besteden)
- 🎁 Gratis tot 40 USDT bij Bybit (vrij te besteden)
Zes maanden undercover als handelspartner
Alles begint in het najaar van 2025, wanneer een groep individuen zich op een groot crypto evenement voordoet als medewerkers van een kwantitatief handelsbedrijf. Ze benaderen Drift medewerkers gericht en persoonlijk, leggen contact op meerdere internationale conferenties en bouwen gedurende maanden een geloofwaardige zakelijke relatie op. Via Telegram voeren ze inhoudelijke gesprekken over handelsstrategieën en vaultintegraties. Tussen december 2025 en januari 2026 openen ze zelfs een Ecosystem Vault op het platform en storten ze meer dan $1 miljoen eigen kapitaal, puur om vertrouwen te wekken.
Wat de aanval bijzonder gevaarlijk maakt, is het gebruik van alledaagse werktools als aanvalsvector. De aanvallers delen links naar zogenaamde projectrepositories en applicaties. Eén medewerker wordt gecompromitteerd nadat hij een repository kloont die de groep deelt voor een frontenddeploy. Een bekende kwetsbaarheid in VSCode en Cursor maakt het mogelijk om bij het simpelweg openen van een bestand willekeurige code uit te voeren, zonder waarschuwing of bevestigingsverzoek. Een tweede medewerker downloadt een malafide TestFlight-app die het team presenteert als hun eigen walletproduct. Op het moment van de aanval zijn alle Telegram-chats en kwaadaardige software volledig gewist.
Noord-Koreaans spoor wijst naar bekende dreigingsgroep
Met “medium-hoge zekerheid” koppelt Drift de aanval aan UNC4736, een staatsgerelateerde Noord-Koreaanse hackersgroep die ook bekend staat als AppleJeus of Citrine Sleet. Dezelfde groep is verantwoordelijk voor de Radiant Capital-hack in oktober 2024. De link is zowel onchain traceerbaar via fondsbewegingen als operationeel, door overlappende actorprofielen. Opvallend is dat de personen die fysiek aanwezig waren bij de conferenties geen Noord-Koreaanse nationaliteit hadden. DPRK groepen op dit niveau zetten bekende derden in voor persoonlijke contacten.
Drift vraagt alle teams in het DeFi ecosysteem om toegangsrechten te auditen en elk apparaat dat een multisig raakt als potentieel doelwit te behandelen. Alle protocolfuncties zijn bevroren en de getroffen wallets zijn verwijderd uit de multisig. Voor teams die denken doelwit te zijn, raadt Drift aan direct contact op te nemen met SEAL 911. De cold wallets van alle multisig-ondertekenaars bleven gedurende de aanval veilig.
