Útočníci podle Drift Protocolu několik měsíců budovali důvěru, osobně se setkávali s vývojáři a do projektu vložili vlastní kapitál. Samotný útok přišel až po půl roce.
Bezpečnostní incident kolem kryptoměnového protokolu Drift dostává konkrétnější obrysy. Podle vyjádření týmu stál za útokem státem podporovaný subjekt ze Severní Koreje, který si více než půl roku systematicky budoval důvěru uvnitř ekosystému, než 1. dubna odčerpal zhruba 270 milionů dolarů.
První kontakt proběhl už na podzim 2025 během velké kryptoměnové konference. Útočníci vystupovali jako kvantitativní tradingová firma, která měla zájem o integraci s protokolem. Podle Driftu působili důvěryhodně – měli odpovídající technické znalosti, doložitelnou profesní historii a rozuměli fungování platformy.
Následovala standardní spolupráce, jaká je v prostředí decentralizovaných financí běžná. Vznikla komunikační skupina na Telegramu a několik měsíců probíhaly diskuse o obchodních strategiích a zapojení do systému vaultů. Mezi prosincem 2025 a lednem 2026 skupina skutečně nasadila vlastní „Ecosystem Vault“, absolvovala pracovní schůzky s přispěvateli a vložila do systému více než milion dolarů vlastního kapitálu.
Osobní kontakt posílil důvěryhodnost celé operace. Zástupci skupiny se setkávali s členy Driftu na konferencích v různých zemích ještě v průběhu února a března. V době samotného útoku tak vztah trval přibližně půl roku.
Samotná kompromitace podle vyšetřování proběhla dvěma hlavními cestami. Jednou z nich byla aplikace distribuovaná přes TestFlight, platformu Applu pro testovací verze aplikací, která obchází standardní kontrolu App Storu. Útočníci ji prezentovali jako vlastní peněženku.
Druhou cestou byla zneužitá zranitelnost v nástrojích VSCode a Cursor, tedy běžně používaných editorech kódu. Bezpečnostní komunita na problém upozorňovala už od konce roku 2025. Stačilo otevřít soubor nebo složku a došlo k tichému spuštění škodlivého kódu bez varování.
Po získání přístupu k zařízením měli útočníci dostatek oprávnění k získání dvou podpisů potřebných pro multisig transakce. Ty byly připraveny s předstihem a zůstaly neaktivní více než týden. K jejich spuštění došlo 1. dubna, kdy během necelé minuty zmizelo z vaultů 270 milionů dolarů.
Útok je připisován skupině UNC4736, známé také jako AppleJeus nebo Citrine Sleet. Vyšetřovatelé se opírají o analýzu pohybu prostředků na blockchainu i o podobnosti s dřívějšími operacemi spojenými se Severní Koreou.
Zajímavým detailem je, že lidé, kteří se osobně účastnili konferencí, nebyli severokorejští občané. Podle bezpečnostních expertů je běžnou praxí využívat prostředníky s pečlivě vytvořenou identitou, pracovní historií i profesními kontakty, které obstojí i při důkladné kontrole.
Drift v reakci na incident varoval, že podobné dlouhodobé infiltrační operace ukazují slabiny současných bezpečnostních modelů v DeFi, zejména těch založených na multisig správě. Pokud jsou útočníci ochotni investovat čas, peníze i osobní kontakt, tradiční kontrolní mechanismy přestávají být dostatečné.
Událost tak otevírá širší otázku, jakým způsobem mají decentralizované projekty chránit své systémy v situaci, kdy hrozba nepřichází jen zvenčí, ale dlouhodobě se buduje přímo uvnitř ekosystému.