Drift cho biết vụ khai thác trị giá 270 triệu đô la là một chiến dịch tình báo của North Korean intelligence kéo dài sáu tháng

Một chiến dịch thu thập tình báo kéo dài sáu tháng đã đi trước vụ khai thác trị giá 270 triệu USD nhắm vào Drift Protocol và được thực hiện bởi một nhóm có liên hệ với nhà nước Triều Tiên, theo bản cập nhật chi tiết về sự cố được nhóm công bố trước đó vào Chủ nhật.

Những kẻ tấn công lần đầu tiếp xúc vào khoảng mùa thu năm 270Mại một hội nghị crypto lớn, nơi họ giới thiệu mình là một công ty giao dịch định lượng, với mục tiêu tích hợp với Drift.

Drift cho biết họ am hiểu về mặt kỹ thuật, có lý lịch nghề nghiệp có thể kiểm chứng, và hiểu rõ cách giao thức vận hành. Một nhóm Telegram đã được thành lập và những gì diễn ra sau đó là nhiều tháng các cuộc trò chuyện đi sâu về chiến lược giao dịch và tích hợp vault—những tương tác tiêu chuẩn mà các công ty giao dịch thực hiện khi onboard với các giao thức DeFi.

Trong giai đoạn từ tháng 12 năm 2025 đến tháng 1 năm 2026, nhóm đã onboard một Ecosystem Vault trên Drift, tổ chức nhiều buổi làm việc với các cộng tác viên, nạp hơn 1 triệu USD vốn của chính họ, và xây dựng một sự hiện diện vận hành có tính thực thi bên trong hệ sinh thái.

Các cộng tác viên của Drift đã gặp trực tiếp những người trong nhóm tại nhiều hội nghị ngành lớn ở nhiều quốc gia khác nhau trong các tháng từ tháng 2 đến tháng 3. Đến thời điểm cuộc tấn công được khởi động vào ngày 1 tháng 4, mối quan hệ đã kéo dài gần nửa năm.

Sự xâm nhập dường như đến từ hai vector.

Vector thứ hai đã tải xuống một ứng dụng TestFlight—nền tảng của Apple để phân phối các ứng dụng chưa phát hành chính thức, bỏ qua việc kiểm tra an ninh của App Store—và nhóm đã giới thiệu nó như sản phẩm ví của họ.

Đối với vector liên quan đến repository, Drift chỉ ra một lỗ hổng đã được biết đến trong VSCode và Cursor—hai trong số các trình soạn thảo mã được sử dụng rộng rãi nhất trong phát triển phần mềm—mà cộng đồng an ninh đã cảnh báo từ cuối năm 2025. Theo đó, chỉ cần mở một tệp hoặc thư mục trong trình soạn thảo là đủ để âm thầm thực thi mã tùy ý mà không cần bất kỳ lời nhắc hay cảnh báo nào.

Sau khi các thiết bị bị xâm nhập, những kẻ tấn công đã có đủ thứ cần thiết để nhận được hai phê duyệt multisig cho phép cuộc tấn công durable nonce mà CoinDesk đã nêu chi tiết trước đó trong tuần này. Các giao dịch đã được ký sẵn đó đã nằm im hơn một tuần trước khi được thực thi vào ngày 1 tháng 4, rút cạn 270 triệu USD từ các vault của giao thức trong chưa đầy một phút.

Quy kết nhắm tới UNC4736, một nhóm có liên hệ với nhà nước Triều Tiên, còn được theo dõi với các tên AppleJeus hoặc Citrine Sleet, dựa trên cả dòng chảy quỹ trên chuỗi dẫn ngược về những kẻ tấn công Radiant Capital và sự trùng lặp về mặt hoạt động với các nhân vật được biết là có liên kết với DPRK.

Tuy nhiên, những cá nhân xuất hiện trực tiếp tại các hội nghị không phải là công dân Triều Tiên. Các tác nhân đe doạ DPRK ở cấp độ này được biết đến là sẽ triển khai các bên trung gian bên thứ ba với danh tính hoàn chỉnh, lịch sử việc làm và mạng lưới chuyên môn đã được xây dựng để chống chịu thẩm định kỹ lưỡng.

Drift đã kêu gọi các giao thức khác kiểm toán cơ chế kiểm soát truy cập và coi mọi thiết bị chạm tới một multisig như một mục tiêu tiềm năng. Hàm ý rộng hơn là điều không mấy thoải mái đối với một ngành công nghiệp dựa vào governance bằng multisig như mô hình bảo mật chính.

Nhưng nếu kẻ tấn công sẵn sàng bỏ ra sáu tháng và một triệu USD để xây dựng một sự hiện diện hợp pháp bên trong hệ sinh thái, gặp các đội ngũ trực tiếp, đóng góp vốn thực và chờ đợi, thì câu hỏi là: mô hình bảo mật nào được thiết kế để bắt được điều đó.