드리프트 프로토콜은 2억 8500만 달러 이상의 피해를 입힌 해킹 공격에 대한 예비 조사 결과를 발표했습니다. 이 조사에 따르면 북한 정부와 연계된 것으로 추정되는 그룹이 6개월에 걸쳐 치밀하게 계획한 해킹 작전을 벌인 것으로 드러났습니다.
북한 해커 그룹의 흔적.
조사에 따르면, 드리프트 공격은 온체인 흐름부터 실행 방식에 이르기까지 2024년 10월 발생한 래디언트 캐피털 해킹과 매우 유사한 특징을 보입니다. 사이버 보안 회사인 맨디언트는 앞서 래디언트 캐피털 공격을 북한 국가 기관과 직접적인 연계가 있는 것으로 알려진 UNC4736 그룹의 소행으로 지목한 바 있습니다.
이번 공격이 특히 위험했던 이유는 피해 규모뿐만 아니라 준비 과정의 정교함 때문이었습니다. 2025년 가을부터 한 무리의 사람들이 여러 국제 암호화폐 컨퍼런스에서 드리프트 협력자들에게 접근하여 양적 거래 회사의 대표인 척 가장하기 시작했습니다.
이들은 최초 접촉 후 피해자들을 텔레그램 그룹에 초대하여 6개월 동안 거래 전략 및 금융 거래에 대한 심도 있는 논의를 이어갔습니다. 신뢰도를 높이기 위해 이들은 드리프트(Drift) 플랫폼에 100만 달러 상당의 실제 자본을 투자한 '에코시스템 볼트(Ecosystem Vault)'를 개설하기도 했습니다. 이는 자신들의 합법성을 가장하기 위한 실제 투자였습니다.
수많은 대면 미팅과 장기간에 걸친 신뢰 구축 과정을 거친 후, 공격자는 악성 링크와 도구를 공유하기 시작했습니다. 용의자는 최종적으로 TestFlight에 올라온 악성코드와 지갑 애플리케이션 테스트 버전을 포함하는 코드 저장소를 통해 침입을 완료했습니다. 공격 완료 후 모든 채팅 기록과 관련 악성코드는 완전히 삭제되었습니다.
대응 및 처리 단계
조사가 진행 중이며 현재까지의 결과는 예비적인 것이지만, Drift는 다음과 같은 일련의 긴급 조치를 시행했습니다. 모든 프로토콜 기능을 동결하고, 손상된 지갑을 멀티시그 메커니즘에서 제거했으며, 추가 출금을 방지하기 위해 거래소 및 크로스체인 브리지 운영자에게 공격자의 지갑을 표시했습니다.
