TL;DR

  • Drift Protocol bekrefter at angrepet 1. april 2026 var en koordinert nordkoreansk etterretningsoperasjon som pågikk i rundt seks måneder
  • Angriperne utga seg for å representere et kvantitativt handelsfirma og møtte Drift-bidragsytere personlig i flere land
  • De deponerte én million dollar i egenkapital for å fremstå som legitime, og ventet deretter i månedsvis før de slo til
  • Totalt ble anslagsvis 270–286 millioner dollar i ulike kryptovalutaer stjålet i det som regnes som årets største DeFi-hack

En operasjon i skyggen av krypto-konferanser

Drift Protocol, en desentralisert børs bygget på Solana-blokkjeden, avslørte fredag at angrepet som rammet protokollen 1. april ikke var et tradisjonelt smartkontraktangrep – det var resultatet av en seks måneder lang etterretningsoperasjon, ifølge CoinDesk.

Angriperne begynte forberedelsene allerede rundt oktober 2025. De opptrådte som representanter for et kvantitativt handelsfirma og tok kontakt med Drift-bidragsytere på store kryptokonferanser i flere land. Møtene foregikk ansikt til ansikt, noe som ga aktørene troverdighet og tilgang til nøkkelpersoner i prosjektet.

For å styrke illusjonen av legitimitet gikk gruppen så langt som å sette inn én million dollar i egne midler i protokollen. Deretter ventet de.

Angriperne deponerte én million dollar av egne midler og ventet i et halvt år – alt for å bygge tillit før de slo til.
Nord-Korea lurte Drift i seks måneder – stjal 270 millioner dollar

Ikke en kodefeil, men menneskelig svikt

Angrepet utnyttet ikke en sårbarhet i Drifts smartkontrakter. Ifølge Drifts egne analyser og data fra blokkjedesikkerhetsselskaper som TRM Labs og Elliptic, kombinerte angriperne avansert sosial manipulasjon med en teknisk metode basert på såkalte «durable nonces» – en mekanisme som tillot dem å omgå protokollens sikkerhetstiltak og utføre forhåndssignerte transaksjoner.

Ved å kompromittere enheter tilhørende Drift-bidragsytere – trolig gjennom ondsinnede lenker eller verktøy – klarte de å skaffe seg administrativ kontroll over protokollens sikkerhetsråd og manipulere multisig-strukturen. I tillegg skal et fabrikert token kalt CarbonVote Token (CVT) ha blitt brukt til orakelmanipulasjon.

President i Solana Foundation, Lily Liu, understreket i etterkant at smartkontraktene i seg selv holdt stand – sårbarheten lå i de administrative lagene rundt protokollen, ikke i koden.

Nord-Korea lurte Drift i seks måneder – stjal 270 millioner dollar

Koblet til tidligere nordkoreanske angrep

Drift sier selv at de med «middels til høy sikkerhet» knytter operasjonen til de samme aktørene som sto bak Radiant Capital-hacket i oktober 2024 – en hendelse som tidligere ble tilskrevet den nordkoreanska trusselgruppen UNC4736, også kjent som AppleJeus eller Citrine Sleet. Blokkjedeanalytikerne hos Elliptic beskriver «flere indikatorer» som peker mot Den demokratiske folkerepublikken Korea (DPRK).

Nord-Korea-tilknyttede hackere ble i 2025 anslått å stå bak stjeling av over to milliarder dollar fra kryptosektoren globalt – nesten 60 prosent av alle stjålne midler det året, ifølge tilgjengelig bransjdata.

Nord-Korea-tilknyttede aktører sto ifølge bransjedata bak over 2 milliarder dollar i kryptotyveri i 2025 alene.

Etterforskning og responstiltak

Etter angrepet stengte Drift umiddelbart alle innskudd og uttak, og frøs protokollens øvrige funksjoner. Selskapet samarbeider nå med sikkerhetsselskaper som Mandiant og SEAL 911, samt rettshåndhevende myndigheter og kryptobørser, for å spore og fryse de stjålne midlene. Kompromitterte lommebøker er fjernet fra multisig-strukturen.

En foreløpig hendelsesrapport er publisert, og Drift har lovet en mer utfyllende gransking. Kryptoadvokat Ariel Givner har ifølge CoinDesk antydet at hendelsen kan vurderes som sivil uaktsomhet, gitt de påståtte svakhetene i grunnleggende sikkerhetspraksis.

Saken illustrerer en urovekkende dreining i angrepsmønsteret mot DeFi-sektoren: Fra å utnytte kodesårbarheter til å systematisk angripe menneskene og de administrative strukturene bak protokollene.