Noord-Koreaanse staatshackers infiltreerden Drift zes maanden lang als nep-tradingfirma

Zes maanden lang bouwden Noord-Koreaanse staatshackers stelselmatig vertrouwen op binnen de Drift-gemeenschap. Ze bezochten conferenties, voerden inhoudelijke gesprekken over tradingstrategieën, stortten meer dan $1 miljoen eigen kapitaal en wachtten geduldig af. Op 1 april 2026 sloegen ze toe. Het schadebedrag is inmiddels bijgesteld naar $270 miljoen.

Dit is een vervolg op 'Drift gehackt: hoe één admin key $250 miljoen aan DeFi-fondsen kostte' van 2 april 2026, dat de hack zelf beschreef. Nu onthult Drift in een incident update van 5 april 2026 wie er achter de aanval zat, en hoe de operatie maandenlang werd voorbereid.

Een staatsbedrijf als dekmantel

De aanvallers opereerden onder de vlag van een kwantitatieve tradingfirma. Ze presenteerden zich professioneel: technisch vloeiend, verifieerbare achtergronden, inhoudelijk sterk in gesprekken over vault-integraties en marktstructuur. Het eerste contact vond plaats op een grote crypto-conferentie in de herfst van 2025.

Wat volgde was een klassiek long-game playbook. Fysieke ontmoetingen met Drift-contributors op conferenties in meerdere landen. Een Telegram-groep met maandenlange gesprekken. Geen haast, geen alarm. De aanvallers gedroegen zich precies zoals een legitiem team dat zou doen.

Achter dit alles zat UNC4736, ook bekend als AppleJeus of Citrine Sleet: een Noord-Koreaanse staatsgelieerde cybereenheid die eerder gelinkt is aan meerdere crypto-exploits. De groep valt onder de bredere paraplu van Noord-Koreaanse staatsgestuurde cybercriminaliteit, waartoe ook de Lazarus Group behoort, die in 2022 verantwoordelijk was voor de Ronin Bridge-hack van ruim $600 miljoen.

Onboarding als Trojaans paard

In december 2025 en januari 2026 escaleerde de infiltratie. De nep-tradingfirma integreerde een Ecosystem Vault op het Drift-protocol, hield meerdere werksessies met contributors en stortte meer dan $1 miljoen eigen kapitaal. Dat geld diende als geloofwaardigheid, niet als investering.

Met elke stap vergrootten de aanvallers hun toegang tot het ecosysteem en tot de mensen die dat ecosysteem beheerden. Ze waren geen buitenstaanders meer. Ze waren insiders.

De technische aanval: TestFlight en VSCode

Toen het vertrouwen voldoende was opgebouwd, volgde de eigenlijke exploit. De aanvallers maakten gebruik van twee aanvalsvectoren:

• Een malicious TestFlight-app, verspreid via Apple's officiële bèta-distributieplatform
• Een kwetsbaarheid in VSCode en Cursor, de populaire code-editors die veel crypto-ontwikkelaars dagelijks gebruiken

Via deze vectoren wisten UNC4736-operators multisig-goedkeuringen te verkrijgen, de handtekeningen die normaliter als veiligheidsnet dienen bij grote transacties binnen DeFi-protocollen. Op 1 april 2026 werd de drain uitgevoerd.

Waarom multisig hier tekortschiet

Multisig-beveiliging werkt op basis van een eenvoudig principe: meerdere onafhankelijke partijen moeten een transactie goedkeuren voordat die kan worden uitgevoerd. Het is een robuust systeem tegen technische aanvallen van buitenaf.

Maar UNC4736 zat zes maanden lang van binnenuit. De sleutelbeheerders kenden de aanvallers. Zij vertrouwden hen. Toen de kwaadaardige goedkeuringsverzoeken kwamen, waren die omgeven door maanden aan legitieme interactie.

Drift stelt in zijn incident update dat dit type langdurige, identiteitsrijke operaties diepe structurele zwakheden blootlegt in multisig-gebaseerde beveiligingsmodellen in heel DeFi. Niet één protocol of één sleutel faalde hier. Het menselijk oordeel faalde, nadat aanvallers maandenlang aan de condities voor dat oordeel hadden gewerkt.

De bredere les voor DeFi

De Drift-hack markeert een verschuiving die de sector serieus moet nemen. Noord-Koreaanse staatshackers investeerden zes maanden tijd, $1 miljoen kapitaal en aanzienlijke menselijke inspanning in een enkele operatie. Dat is geen opportunistische aanval. Dat is staatsinlichtingencapaciteit, ingezet voor financieel gewin op de cryptomarkt.

Voor DeFi-protocollen die met externe partijen werken, met market makers, vaultbeheerders of integratiepartners, stelt dit een fundamentele vraag: hoe verifieer je een partij die alles goed doet, alle juiste antwoorden geeft, en gewoon aanwezig is?

Technische beveiligingslagen zijn noodzakelijk maar onvoldoende. De grens tussen statelijke spionage en DeFi-criminaliteit is formeel vervaagd.

Wat volgt

Drift heeft de aanval in kaart gebracht maar geeft in zijn incident update aan dat het onderzoek nog loopt. De bredere crypto-sector verwacht de komende weken meer details over de aanvalsvectoren. Het is onbekend of andere protocollen op vergelijkbare wijze zijn benaderd door UNC4736.

Bronnen: Drift Protocol (incident update 5 april 2026)

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen financieel, beleggings- of fiscaal advies. Today in Finance is geen beleggingsonderneming en beschikt niet over een vergunning als bedoeld in de Wet op het financieel toezicht (Wft). Raadpleeg altijd een gekwalificeerd financieel adviseur voordat je financiele beslissingen neemt. Today in Finance is niet aansprakelijk voor beslissingen genomen op basis van deze informatie.

Cryptovaluta zijn niet gereguleerd en zeer volatiel. Je kunt je volledige inleg verliezen.