드리프트 프로토콜(DRIFT)은 4월 5일 사건에 대한 자세한 업데이트를 발표하며, 4월 1일에 발생한 2억 8500만 달러 규모의 해킹 공격이 북한 정부의 지원을 받는 해커들이 6개월에 걸쳐 진행한 첩보 작전의 결과라고 밝혔습니다.
공개된 정보에 따르면, 이는 일반적인 피싱이나 모집 사기를 훨씬 뛰어넘는 수준의 사회공학적 수법으로, 직접 만남, 실제 자본 투입, 그리고 수개월에 걸친 신뢰 구축을 포함합니다.
장기전을 펼친 가짜 거래 회사
Drift에 따르면, 양적 거래 회사로 위장한 한 그룹이 2025년 가을 주요 암호화폐 컨퍼런스에서 참여자들에게 처음 접근했다고 합니다.
이후 몇 달 동안 이들은 여러 국가에서 열린 다양한 행사에 참석하고, 워크숍을 개최했으며, 볼트 통합에 대한 텔레그램 대화를 지속적으로 이어갔습니다.
X에서 저희를 팔로우하시면 최신 뉴스를 실시간으로 받아보실 수 있습니다.
2025년 12월부터 2026년 1월 사이에 해당 그룹은 Drift의 에코시스템 볼트에 자금을 예치하고 100만 달러 이상의 자본 입금했으며 제품에 대한 상세한 논의에 참여했습니다.
3월까지 드리프트 기고자들은 이들을 여러 차례 직접 만났습니다.
"가장 위험한 해커들은 해커처럼 보이지 않아요."라고 암호화폐 개발자 가우탐이 말했다 .
웹 보안 전문가들조차 이 점을 우려하고 있으며, 연구원 테이는 처음에는 전형적인 채용 사기라고 생각했지만, 실제로는 훨씬 더 심각한 규모의 조직이라는 것을 알게 되었다고 밝혔습니다.
기기들이 어떻게 해킹당했는가
Drift는 세 가지 유력한 공격 경로를 파악했습니다.
- 한 기여자가 그룹에서 공유하는 금고 프런트엔드 코드 저장소를 복제했습니다.
- 두 번째 사용자는 지갑 제품으로 위장한 TestFlight 애플리케이션을 다운로드했습니다.
- 저장소 공격 벡터와 관련하여 Drift는 보안 연구원들이 2025년 말부터 지적해 온 VSCode 및 Cursor의 알려진 취약점을 언급했습니다.
그 결함으로 인해 파일이나 폴더가 편집기에서 열리는 순간, 사용자 상호 작용 없이 임의의 코드가 조용히 실행될 수 있었습니다.
4월 1일 해킹 사건 이후 공격자들은 모든 텔레그램 채팅 기록과 악성 소프트웨어를 삭제했습니다. Drift는 이후 남은 프로토콜 기능을 동결하고 멀티시그에서 손상된 지갑을 제거했습니다.
SEALS 911 팀은 2024년 10월 Mandiant가 UNC4736의 소행으로 지목한 래디언트 캐피탈(Radiant Capital) 해킹 사건을 동일한 위협 행위자들이 저질렀을 가능성이 높다고 판단했습니다.
온체인 자금 흐름과 두 캠페인 간의 운영상 중복되는 부분이 이러한 연관성을 뒷받침합니다.
업계, 보안 시스템 재설정 요구
솔라나(Solana) 저명한 개발자인 아르마니 페란테는 모든 암호화폐 팀에게 성장 노력을 잠시 중단하고 전체 보안 스택을 점검할 것을 촉구했습니다.
"암호화폐 업계의 모든 팀은 이번 기회를 통해 속도를 늦추고 보안에 집중해야 합니다. 가능하다면 보안 전담팀을 구성하는 것이 좋습니다. 해킹을 당하면 성장할 수 없습니다."라고 페란 테 는 말했습니다 .
드리프트는 직접 나타난 사람들이 북한 국적자가 아니었다고 지적했습니다. 북한의 이 정도 수준의 위협 행위자들은 대면 접촉을 위해 제3자를 이용하는 것으로 알려져 있습니다.
드리프트가 기기 포렌식 분석을 위해 고용한 맨디언트는 아직 해당 익스플로잇의 출처를 공식적으로 밝히지 않았습니다.
이번 공개는 더 넓은 생태계에 대한 경고 역할을 합니다. 드리프트는 각 팀에게 접근 제어를 감사하고, 멀티시그에 연결된 모든 장치를 잠재적 표적으로 간주하며, 유사한 공격이 의심될 경우 SEAL 911에 연락할 것을 촉구했습니다.
