Drift Protocol fryser verksamheten efter DeFi-infiltration kopplad till Nordkorea
Drift Protocol, en decentraliserad derivatbörs baserad på Solana, avstängde alla funktioner den 1 april 2026 efter att ha upptäckt en månadslång infiltration kopplad till en nordkoreaansluten statlig cybergrupp.
Drift Protocol uppgav att angriparna använde koordinerad social ingenjörskonst för att vinna förtroende. De kontaktade Drift-bidragsgivare från hösten 2025 vid stora kryptoevent och upprätthöll sedan personliga och fjärrinteraktioner under ungefär sex månader. En Telegram-grupp användes enligt uppgift för att hantera pågående diskussioner, inklusive onboarding av en Ecosystem Vault i december 2025 med insättningar över 1 miljon dollar.
Den interna granskningen drog senare slutsatsen att hotaktörerna byggt upp utförliga "verifierbara" identiteter och fortsatt delta i produktutveckling fram till mars 2026, vilket banade väg för exploatering.
Den 1 april identifierade Drift Protocol också tre tekniska attackvektorer som möjliggjorde obehörig kodkörning på bidragsgivares enheter. En involverade skadlig kod dold i ett repository presenterat som frontend-utveckling för vaults, utformad för att tyst köra godtycklig kod när det öppnades i editors som VSCode eller Cursor. En annan använde en TestFlight-app — påstådd vara en specialiserad wallet-produkt — för att leverera skadlig kod utan uppenbara varningar, behörighetsbegäranden eller synliga indikatorer. Angriparna raderade enligt uppgift relaterade Telegram-meddelanden och artefakter omedelbart efter att de utlöste exploit.
Incidenthantering tillskrev kampanjen med medelhögt till högt förtroende till UNC4736 (även spårat som AppleJeus eller Citrine Sleet). Drift Protocol kopplade risken till tidigare DeFi-infrastrukturattacker, inklusive Radiant Capital-breached i oktober 2024, och uppmanade till stramare åtkomstkontroller och granskning av beroenden i hela sektorn.
Huvudhandlarnas slutsats: Drift Protocols driftstopp och den nordkoreaanknutna attributionen ökar svansriskerna för Solana DeFi och för plattformar med liknande integrations- och beroendeantaganden.
Bearish
Detta är en tydlig "protokollnivå säkerhetshändelse". Drift Protocol stoppade all funktionalitet, vilket innebär att likviditet och hävstångshandel sannolikt kommer att svalna på kort sikt; samtidigt rapporter tillskriver detta en högorganiserad statssponsrad grupp och pekar på leveransvektorer som möjliggör obehörig kodkörning (inklusive tyst körning och förklädda plånböcker/förråd). Sådan information brukar orsaka två omgångar av påverkan på marknaden:
Kort sikt (handelsnivå):
- Liknande Solana DeFi-derivat och integrerade projekt kan se kapitaluttag eller striktare riskprissättning, vilket minskar behovet av market making/hedging.
- Handlare kommer att prissätta in större riskavdrag för interaktioner med DeFi-kontrakt, frontends/beroendekedjor och leveranskedjesäkerhet, vilket kan leda till bredare spreads och högre volatilitet.
Lång sikt (sentiment samt reglering/säkerhet):
- Om händelsen fortsätter att utvecklas (till exempel kring tillgänglighet av medel, försäkring/kompensation, eller om sårbarheten påverkar en bredare ekologi) kommer marknaden att ge en mer försiktig värdering av DeFi-infrastrukturen.
- Tidigare liknande händelser (DeFi-intrång, leveranskedjor med illasinnad kod, protokollnödstopp) tenderar att först höja riskpremier och därefter leda till uppgraderingar av säkerhetsgranskning och beroendestyrning; priser vänder inte nödvändigtvis omedelbart, men kapital förblir defensivt tills osäkerheten minskar.
Därför är den övergripande lutningen bearish: kortsiktiga svängningar och riskaversion kommer sannolikt att dominera.