일요일 오전에 발표된 사건 개요에 따르면, 2억 7천만 달러 규모의 드리프트 프로토콜 악용 사건에 앞서 6개월간의 정보 작전이 진행되었으며, 이는 북한 정부와 연계된 단체에 의해 수행되었습니다.
공격자들은 2025년 가을경 주요 암호화폐 컨퍼런스에서 처음으로 접촉했으며, 드리프트(Drift)와 통합하려는 양적 거래 회사라고 자신들을 소개했습니다.
드리프트는 그들이 기술적으로 능숙했고, 검증 가능한 전문 경력을 가지고 있었으며, 프로토콜 작동 방식을 이해하고 있었다고 말했습니다. 텔레그램 그룹이 개설되었고, 그 후 몇 달 동안 거래 전략 및 볼트 통합에 대한 실질적인 대화가 이어졌는데, 이는 거래 회사들이 DeFi 프로토콜에 참여하는 일반적인 방식입니다.
2025년 12월부터 2026년 1월 사이에 해당 그룹은 Drift에 에코시스템 볼트를 구축하고, 기여자들과 여러 차례 워크숍을 개최했으며, 100만 달러 이상의 자체 자본 예치하고, 생태계 내에서 기능적인 운영 기반을 구축했습니다.
드리프트 기고자들은 2월과 3월에 걸쳐 여러 국가에서 열린 주요 업계 컨퍼런스에서 해당 그룹 구성원들을 직접 만났습니다. 4월 1일 공격이 시작될 무렵, 두 사람의 관계는 이미 반년 가까이 지속된 상태였습니다.
이번 타협은 두 가지 경로를 통해 이루어진 것으로 보인다.
두 번째 사용자는 애플의 앱스토어 보안 검토를 우회하는 사전 출시 앱 배포 플랫폼인 TestFlight 애플리케이션을 다운로드했는데, 해당 그룹은 이를 자신들의 지갑 제품으로 소개했습니다.
저장소 벡터와 관련하여 Drift는 소프트웨어 개발에서 가장 널리 사용되는 코드 편집기인 VSCode와 Cursor에서 발견된 알려진 취약점을 지적했습니다. 보안 커뮤니티는 2025년 말부터 이 취약점을 지적해 왔는데, 편집기에서 파일이나 폴더를 열기만 해도 아무런 경고나 알림 없이 임의 코드가 조용히 실행될 수 있다는 내용이었습니다.
기기가 해킹당하자 공격자들은 코인데스크가 이번 주 초에 자세히 보도한 내구성 있는 논스 공격을 가능하게 하는 두 개의 멀티시그 승인을 얻는 데 필요한 모든 것을 확보했습니다. 사전 서명된 이 거래들은 4월 1일에 실행되기 전까지 일주일 이상 대기 상태로 있다가, 1분도 채 안 되는 시간에 프로토콜의 금고에서 2억 7천만 달러를 빼돌렸습니다.
이번 공격은 UNC4736이라는 북한 정부 연계 그룹(AppleJeus 또는 Citrine Sleet으로도 알려짐)을 배후로 지목했는데, 이는 온체인 자금 흐름이 래디언트 캐피탈(Radiant Capital) 공격자들에게로 추적되었고, 알려진 북한 연계 인물들과 운영상 중복이 있었기 때문입니다.
하지만 회의에 직접 참석한 사람들은 북한 국적자가 아니었습니다. 북한의 위협 행위자들은 이 정도 수준의 경우, 신원 확인에 걸리지 않도록 완벽하게 구축된 신분, 경력, 전문 네트워크를 갖춘 제3자를 중간책으로 활용하는 것으로 알려져 있습니다.
드리프트는 다른 프로토콜들도 접근 제어를 감사하고 멀티시그에 접근하는 모든 장치를 잠재적 공격 대상으로 간주해야 한다고 촉구했습니다. 이는 멀티시그 거버넌스를 주요 보안 모델로 삼는 업계에 불편한 의미를 내포하고 있습니다.
하지만 공격자들이 6개월 동안 100만 달러를 투자하여 생태계 내부에 합법적인 존재감을 구축하고, 팀원들을 직접 만나고, 실질적인 자본 투입하고, 기다릴 의향이 있다면, 어떤 보안 모델이 이를 포착하도록 설계되었느냐가 관건입니다.
