Driftは、$270 millionのエクスプロイトは6か月間にわたる北朝鮮の諜報作戦だったと述べた

日曜の早い時間にチームが公開した詳細なインシデント・アップデートによると、Drift Protocolの2億7000万ドルにのぼるエクスプロイトの前に、6か月に及ぶ諜報活動が行われており、その実行は北朝鮮の国家に関連するグループによって担われたという。

攻撃者はまず、2025年秋ごろに大手の暗号資産カンファレンスで接触を開始し、自分たちはDriftと統合したいと考える量的取引（クオンティタティブ・トレーディング）企業だと名乗っていた。

Driftによれば、攻撃者は技術面で精通しており、検証可能な職歴上の背景を持ち、プロトコルがどのように動作するかを理解していた。Telegramのグループが設立され、その後に続いたのは、取引戦略やヴォールトの統合をめぐる実質的な数か月のやり取りで、これは取引企業がDeFiプロトコルにオンボードする際に一般的なプロセスだ。

2025年12月から2026年1月にかけて、そのグループはDrift上のEcosystem Vaultをオンボードし、貢献者らと複数回の作業セッションを行い、自らの資本として100万ドル超を預け入れ、エコシステム内部に機能する運用上の拠点を築いた。

Driftの貢献者は、2月および3月までの間、複数の主要な業界カンファレンスで、国をまたいでそのグループのメンバーと対面で会っていた。攻撃が4月1日に開始された時点で、その関係はほぼ半年に及んでいた。

侵害は、2つのベクトルを通じて発生したようだ。

2つ目は、リリース前アプリの配布に用いられるAppleのプラットフォームであり、セキュリティ審査を回避できるTestFlightアプリをダウンロードさせたことだった。グループはこれを自分たちのウォレット製品として提示していた。

リポジトリのベクトルについては、Driftは、ソフトウェア開発で最も広く使われているコードエディタのうちの2つであるVSCodeとCursorに関する既知の脆弱性を指摘した。これは、セキュリティコミュニティが2025年後半以降から問題視していたもので、エディタで単にファイルやフォルダを開くだけで、プロンプトや警告なしに任意のコードが静かに実行されてしまうというものだ。

デバイスが侵害されると、攻撃者は、CoinDeskが今週初めに詳述した耐久性のあるnonce攻撃を可能にする2つのマルチシグ承認を得るのに必要なものを手にしていた。これらの事前署名済みトランザクションは、4月1日に実行されるまで1週間以上放置された状態だった。その結果、1分未満でプロトコルのヴォールトから2億7000万ドルが流出した。

帰属はUNC4736を指している。UNC4736は北朝鮮の国家に関連するグループで、AppleJeusまたはCitrine Sleetとしても追跡されている。これは、Radiant Capitalの攻撃者に遡るオンチェーンの資金フローの追跡と、既知のDPRK関連の人物との運用面での重なりの双方に基づいている。

ただし、カンファレンスで対面していた個人は、北朝鮮の国籍者ではなかった。こうしたレベルのDPRKの脅威アクターは、デューデリジェンスに耐えられるように、完全に作り込まれたアイデンティティ、雇用履歴、そしてプロフェッショナルなネットワークを備えた第三者の仲介者を投入することが知られている。

Driftは、他のプロトコルに対してアクセス制御を監査し、マルチシグに触れるあらゆるデバイスを潜在的な標的として扱うよう促した。より広い示唆としては、マルチシグのガバナンスを主要なセキュリティモデルとして依存している業界にとって、居心地の悪さを伴う内容だ。

しかし、攻撃者が、エコシステム内部で正当な存在感を築くために6か月と100万ドルを費やし、チームと直接会い、本当に資本を拠出し、そして待つつもりであるなら、問題は「それを捕捉するために設計されたセキュリティモデルは何なのか」という点にある。