Drift는 2억 7천만 달러 규모의 익스플로잇이 6개월간 진행된 북한 정보 당국의 작전이었다고 밝혔습니다

6개월간의 정보작전이 2억 7천만 달러 규모의 Drift Protocol 익스플로잇에 앞서 진행되었으며, 이는 북한 국가 연계 그룹에 의해 수행된 것으로 알려졌다고 상세 사건 업데이트 일요일 일찍 팀에서 발표한 내용입니다.

공격자들은 2025년 가을 주요 암호화폐 컨퍼런스에서 처음 접촉했으며, 드리프트와의 통합을 모색하는 정량적 거래 회사로 자신들을 소개했습니다.

그들은 기술적으로 능숙했으며, 검증 가능한 전문 경력을 보유하고 있었고, 프로토콜이 어떻게 작동하는지 이해하고 있었다고 Drift는 전했다. 텔레그램 그룹이 만들어졌고, 이후 몇 달 동안 거래 전략과 금고 통합에 관한 실질적인 대화가 이어졌으며, 이는 거래 회사들이 DeFi 프로토콜에 온보딩할 때 일반적으로 이루어지는 상호작용이다.

2025년 12월부터 2026년 1월 사이에, 해당 그룹은 Drift에 에코시스템 볼트를 도입하고, 여러 기여자들과 다수의 작업 세션을 진행했으며, 자체 자본 100만 달러 이상을 예치하고, 에코시스템 내에서 실질적인 운영 기반을 구축했습니다.

Drift 기여자들은 2월과 3월에 걸쳐 여러 국가에서 열린 여러 주요 산업 컨퍼런스에서 해당 그룹의 구성원들과 직접 만났습니다. 4월 1일 공격이 시작되었을 때, 이 관계는 거의 반년이 되어가고 있었습니다.

해킹은 두 가지 경로를 통해 이루어진 것으로 보입니다.

두 번째는 사전 출시 앱의 보안 심사를 우회하는 애플의 플랫폼인 TestFlight 애플리케이션을 다운로드했으며, 해당 그룹은 이를 그들의 지갑 제품으로 제시했습니다.

저장소 벡터와 관련하여, Drift는 보안 커뮤니티가 2025년 말부터 지적해온 VSCode와 Cursor의 알려진 취약점을 지목했습니다. 이 두 코드는 소프트웨어 개발에서 가장 널리 사용되는 코드 편집기 중 하나로, 편집기에서 파일이나 폴더를 단순히 열기만 해도 어떠한 경고나 알림 없이 임의의 코드를 몰래 실행할 수 있는 취약점이었습니다.

기기가 침해되자 공격자들은 이번 주 초 CoinDesk가 자세히 보도한 내구성 논스 공격을 가능하게 하는 두 개의 다중서명 승인을 획득하는 데 필요한 정보를 확보했습니다. 사전 서명된 해당 거래들은 1주일 이상 휴면 상태로 있다가 4월 1일 실행되어, 프로토콜 금고에서 1분도 채 되지 않아 2억 7천만 달러를 빼내 갔습니다.

이번 공격의 책임은 Radiant Capital 공격자들과 연계된 온체인 자금 흐름과 알려진 북한 관련 인물들과의 운영적 중복을 근거로, AppleJeus 또는 Citrine Sleet로도 알려진 북한 국가 소속 그룹인 UNC4736으로 지목되었습니다.

그러나 회의에 직접 출석한 인물들은 북한 국적자가 아니었습니다. 이 수준의 조선민주주의인민공화국(DPRK) 위협 행위자들은 철저한 실사를 견딜 수 있도록 완벽하게 구성된 신원, 고용 이력 및 전문 네트워크를 갖춘 제3자 중개인을 활용하는 것으로 알려져 있습니다.

Drift는 다른 프로토콜들에게 접근 제어 감사를 실시하고 멀티시그에 연결되는 모든 장치를 잠재적 타깃으로 간주할 것을 촉구했습니다. 이로 인한 광범위한 시사점은 멀티시그 거버넌스를 주요 보안 모델로 사용하는 업계에 있어 불편한 진실입니다.

하지만 공격자가 6개월과 백만 달러를 투자하여 생태계 내에 합법적인 존재감을 구축하고, 팀을 직접 만나며, 실제 자본을 기여하고 기다릴 의향이 있다면, 문제는 이러한 상황을 포착할 수 있도록 설계된 보안 모델이 무엇인가 하는 점입니다.