Hoe het 6 maanden durende geheime spionageprogramma van Noord-Korea de crypto-gemeenschap aanzet tot herziening van de beveiliging

Wanneer Drift onthulde de details achter zijn exploit van $270 miljoen, was het meest verontrustende niet de omvang van het verlies — het was hoe het gebeurde.

Volgens het team achter het protocol was de aanval geen fout in de smart contracten of een slimme code-manipulatie. Het was een campagne van zes maanden waarbij gebruik werd gemaakt van valse identiteiten, persoonlijke ontmoetingen in meerdere landen en zorgvuldig opgebouwde vertrouwensrelaties. De aanvallers, naar verluidt uit Noord-Korea, vonden niet alleen een kwetsbaarheid in het systeem. Zij werden er onderdeel van.

Deze nieuwe dreiging dwingt nu tot een bredere heroverweging binnen gedecentraliseerde financiën.

Jarenlang heeft de industrie veiligheid beschouwd als een technisch probleem, iets dat opgelost kon worden met audits, formele verificatie en betere code. Maar het Drift-incident suggereert iets veel complexers: dat de echte kwetsbaarheden kunnen zich volledig buiten de codebasis bevinden.

Alexander Urbelis, chief information security officer (CISO) bij ENS Labs, stelt dat de framing zelf al achterhaald is.

"We moeten stoppen met het noemen van deze incidenten als 'hacks' en ze benoemen zoals ze zijn: inlichtingenoperaties," vertelde Urbelis aan CoinDesk. "De mensen die op conferenties verschenen, die Drift-bijdragers persoonlijk ontmoetten in meerdere landen, die een miljoen dollar van hun eigen geld stortten om geloofwaardigheid op te bouwen: dat is vakmanschap. Het is het soort werk dat je zou verwachten van een zaakofficier, niet van een hacker."

Als die karakterisering standhoudt, vertegenwoordigt Drift dan een nieuwe strategie: een waarbij aanvallers zich minder gedragen als opportunistische hackers en meer als geduldige operateurs die zich sociaal inbedden voordat ze een zet op de blockchain doen.

"Noord-Korea scant niet langer naar kwetsbare contracten. Ze scannen naar kwetsbare mensen... Dat is geen hacken. Dat is het inzetten van agenten," voegde Urbelis eraan toe.

De tactieken zelf zijn niet geheel nieuw.

Onderzoeken hebben in recente jaren aangetoond Noord-Koreaanse agenten dringen cryptobedrijven binnen door zich voor te doen als ontwikkelaars, sollicitatiegesprekken te doorstaan en zelfs posities te bemachtigen onder valse identiteiten. Maar het Drift-incident suggereert dat die pogingen zijn geëscaleerd — van toegang verkrijgen via wervingskanalen tot het uitvoeren van maandenlange, persoonlijke relatieopbouwende operaties voordat een aanval wordt uitgevoerd.

'De achilleshiel'

Die verschuiving baart veel beveiligingsleiders de meeste zorgen. Zelfs het meest grondig geauditete protocol kan nog steeds falen als een bijdrager gecompromitteerd wordt.

David Schwed, chief operating officer van SVRN en voormalig CISO bij zowel Robinhood als Galaxy, ziet de Drift-zaak als een wake-up call.

"Protocollen moeten begrijpen waar ze mee te maken hebben. Dit zijn geen eenvoudige exploits. Het zijn goed geplande, maandenlange operaties met toegewijde middelen, gefabriceerde identiteiten en een doelbewust menselijk element," vertelde Schwed aan CoinDesk. "Dat menselijke element is de achilleshiel voor veel organisaties."

Veel DeFi-teams blijven klein, wendbaar en gebaseerd op vertrouwen. Maar wanneer een handvol individuen cruciale toegang beheert, kan het compromitteren van één persoon al voldoende zijn.

Schwed betoogt dat de reactie geüpdatet moet worden. 'Het antwoord is een goed versterkt beveiligingsprogramma dat niet alleen de technologie beschermt, maar ook de mensen en het proces... Beveiliging moet fundamenteel zijn voor het project en het team.'

Sommige protocollen passen zich al aan. Bij Jupiter, een van de grootste DeFi-platforms van Solana, blijft de basis van audits en formele verificatie gehandhaafd, maar leiders stellen dat dit niet langer voldoende is.

"Het is duidelijk dat het beveiligen van code door middel van meerdere onafhankelijke audits, open source en formele verificatie slechts een minimale vereiste is. Het aanvallingsoppervlak is aanzienlijk uitgebreid," zei COO Kash Dhanda.

Die bredere scope omvat nu governance, bijdragers en operationele beveiliging. Jupiter heeft het gebruik van multisigs en timelocks uitgebreid, terwijl het investeert in detectiesystemen en interne trainingen.

"Gezien het feit dat vlees kwetsbaarder is dan code, werken we ook de opsec-training en monitoring voor belangrijke teamleden bij,” zei Dhanda.

Zelfs dan, voegde hij eraan toe, “is er geen eindtoestand voor beveiliging” en blijft zelfgenoegzaamheid het grootste risico.

Voor protocollen zoals dYdX bevestigt het Drift-incident een realiteit die niet volledig kan worden geëlimineerd door middel van technische maatregelen.

"Het is een ongelukkige realiteit dat cryptoprojecten steeds vaker het doelwit zijn van door staten gesponsorde kwaadwillenden... ontwikkelaars moeten voorzorgsmaatregelen nemen om social engineering-aanvallen te voorkomen en de impact ervan te beperken, maar gebruikers dienen zich er ook van bewust te zijn dat, gezien de toenemende verfijning van deze kwaadwillenden, het risico op dergelijke compromitteringen nooit helemaal kan worden uitgesloten,” zei David Gogel, COO van dYdX Labs.

Dat zich ontwikkelende dreigingsmodel verschuift ook de verantwoordelijkheid naar de gebruikers zelf.

“Gebruikers die actief zijn in DeFi dienen de tijd te nemen om de technische architectuur van protocollen of smart contracts waarin hun fondsen zijn ondergebracht te begrijpen, en moeten in hun risicobeoordelingen de rol en aard van eventuele multisigs voor software-upgrades meenemen, evenals de mogelijkheid dat deze kwaadwillig kunnen worden gecompromitteerd,” voegde Gogel eraan toe.

'Bedreigingsmodel'

Voor sommige oprichters benadrukt de Drift-exploit een ongemakkelijkere conclusie: dat vertrouwen zelf een kwetsbaarheid is geworden.

"De Drift-exploit was geen kwetsbaarheid in de code. Het was een zes maanden durende inlichtingencampagne die het vertrouwen tussen mensen uitbuitte," aldus Lucas Bruder, CEO van Jito Labs.

In de praktijk betekent dit het ontwerpen van systemen die uitgaan van compromissen — niet alleen van bugs.

"Smart contract audits zijn basisvereisten. Het echte aanvalsoppervlak is uw team, uw multisig-ondertekenaars en elk apparaat dat zij gebruiken."

Die denkwijze wordt steeds centraler in de manier waarop DeFi beveiliging benadert. Schwed van SVRN zegt dat het begint met het stellen van niet alleen de vraag hoe een protocol werkt, maar ook hoe het kan falen.

Begin met een dreigingsmodel. Vraag uzelf af, hoe kan ik worden uitgebuit? Als een van de project-eigenaren wordt gecompromitteerd, wat is dan de impactradius van dat scenario?

In die zin zal de Drift-exploit mogelijk minder worden herinnerd vanwege de verloren fondsen dan vanwege wat het aan het licht bracht — dat de grootste risico’s in DeFi mogelijk niet langer in de code liggen, maar in de mensen die deze beheren.

Lees meer: Hoe Noord-Korea de Crypto-industrie Infiltreerde