日曜の早い時間にチームが公開した詳細なインシデント・アップデートによると、6か月に及ぶ諜報活動がDrift Protocolの270 millionドルのエクスプロイトの前に実行されており、その実行は北朝鮮の国家に関係するグループによって行われたという。
攻撃者らはまず、2025年秋ごろ、大手の暗号通貨カンファレンスで接触を開始し、Driftとの統合を目指す数量取引(クオンツ)企業だと名乗った。
Driftによれば、彼らは技術的に流暢で、検証可能な職歴を持ち、プロトコルの仕組みを理解していたという。Telegramグループが設置され、その後に続いたのは、取引戦略やボールト(vault)の統合をめぐる実質的な数か月間の会話であり、DeFiプロトコルに取引企業がオンボーディングする際に一般的なやり取りだった。
2025年12月から2026年1月にかけて、そのグループはDrift上でEcosystem Vaultをオンボーディングし、コントリビューターと複数回のワーキングセッションを行い、自己資本として100万ドル超を入金し、エコシステム内部で機能する運用上の足場を構築した。
Driftのコントリビューターは、2月および3月までの複数の国にまたがる複数の主要な業界カンファレンスで、グループのメンバーと対面で会っていた。攻撃が4月1日に実行されるまでに、両者の関係はほぼ半年に達していた。
侵害は2つのベクトルを通じて起きたようだ。
2つ目は、AppleのプラットフォームであるTestFlightアプリケーションをダウンロードしたことだった。これはリリース前のアプリを配布するためのもので、App Storeのセキュリティ審査を回避できる。グループはこれを自分たちのウォレット製品として提示していた。
リポジトリ(repository)ベクトルについては、DriftはVSCodeとCursorの既知の脆弱性を指摘した。VSCodeとCursorはソフトウェア開発で最も広く使われているコードエディタの2つで、セキュリティコミュニティが2025年後半から問題視していたものだ。そこでは、エディタでファイルまたはフォルダを単に開くだけで、プロンプトや警告なしに任意のコードをサイレントに実行するのに十分だった。
端末が侵害されると、攻撃者らは、今週CoinDeskが詳述した耐久性のあるnonce攻撃を可能にする2つのマルチシグ承認を取得するのに必要なものを手に入れていた。事前署名されたトランザクションは、4月1日に実行されるまで1週間以上眠ったままで、1分もかからずにプロトコルのボールトから270 millionドルを流出させた。
帰属(アトリビューション)はUNC4736を指している。UNC4736は北朝鮮の国家に関係するグループで、AppleJeusまたはCitrine Sleetとも呼ばれており、Radiant Capitalの攻撃者につながるオンチェーンの資金フローの追跡と、既知のDPRKに結びつく人物像との運用上の重なりの両方を根拠に特定されている。
ただし、カンファレンスで対面していた個人は北朝鮮の国籍者ではなかった。このレベルのDPRKの脅威アクターは、デューデリジェンス(精査)に耐えられるように完全に構築されたアイデンティティ、雇用履歴、プロフェッショナルなネットワークを備えた第三者の仲介者を投入することが知られている。
Driftは、他のプロトコルに対し、アクセス制御を監査し、マルチシグに触れるあらゆる端末を潜在的な標的として扱うよう促した。より大きな含意は、マルチシグのガバナンスを主要なセキュリティモデルとして頼る業界にとって、気の重くなるものだ。
しかし、攻撃者が6か月と2.7億ドルを投じてエコシステム内部で正当な存在感を築き、チームに直接会い、実質的な資本を投入し、そして待つことをいとわないのであれば、「それ」を捕捉するように設計されたセキュリティモデルは何なのか、という問いが残る。
