Μια ομάδα χάκερ συνδεδεμένη με τη Βόρεια Κορέα χρειάστηκε έξι μήνες προετοιμασίας για να αδειάσει το κρυπτο-πρωτόκολλο Drift από 285 εκατομμύρια δολάρια σε μόλις 12 λεπτά. Η επιχείρηση συνδύαζε πλαστές ταυτότητες, προσωπικές συναντήσεις σε διεθνή συνέδρια και εκμετάλλευση ευπαθειών λογισμικού — και θέτει ερωτήματα τόσο για τους επιτιθέμενους όσο και για τους ίδιους τους διαχειριστές της πλατφόρμας.
Την 1η Απριλίου 2026, το Drift — ένα πρωτόκολλο συναλλαγών κρυπτονομισμάτων στο δίκτυο Solana — έχασε 285 εκατομμύρια δολάρια σε λιγότερο από ένα τέταρτο ώρας. Δεν ήταν τυχαία επίθεση. Ήταν το αποτέλεσμα μιας επιχείρησης έξι μηνών που, σύμφωνα με τις εταιρείες παρακολούθησης blockchain TRM Labs και Elliptic, φέρει τα χαρακτηριστικά των κρατικά χρηματοδοτούμενων χάκερ της Βόρειας Κορέας.
Η επιχείρηση ξεκίνησε το φθινόπωρο του 2025, όταν άτομα που παρουσιάζονταν ως εκπρόσωποι μιας εταιρείας ποσοτικών συναλλαγών πλησίασαν μέλη της ομάδας Drift σε ένα μεγάλο συνέδριο κρυπτονομισμάτων. Οι επαφές συνεχίστηκαν σε προσωπικές συναντήσεις σε πολλές χώρες, μέσω Telegram και με λεπτομερείς συζητήσεις για στρατηγικές συναλλαγών. Οι επιτιθέμενοι έφτασαν μάλιστα να καταθέσουν πάνω από ένα εκατομμύριο δολάρια στην πλατφόρμα, χτίζοντας αξιοπιστία. Τίποτα δεν φαινόταν ύποπτο — μέχρι που ήταν πολύ αργά.
Στα τέλη Μαρτίου 2026, η ομάδα ασφαλείας του Drift άλλαξε το σύστημα έγκρισης συναλλαγών, μειώνοντας τον αριθμό των απαιτούμενων υπογραφών από πέντε σε δύο και αφαιρώντας κάθε περίοδο αναμονής που θα μπορούσε να λειτουργήσει ως ασφαλιστική δικλείδα. Παράλληλα, οι χάκερ είχαν ήδη δημιουργήσει 750 εκατομμύρια ψεύτικα tokens με την ονομασία CarbonVote Token και είχαν χειραγωγήσει τα εργαλεία αποτίμησης της πλατφόρμας ώστε να τα αναγνωρίζουν ως αξιόπιστη εγγύηση. Στην 1η Απριλίου, εκτέλεσαν 31 αναλήψεις μέσα σε 12 λεπτά, άδειασαν τα αποθεματικά της πλατφόρμας και μετέφεραν τα κεφάλαια στο δίκτυο Ethereum για να καλύψουν τα ίχνη τους.
Η απόδοση της επίθεσης στη Βόρεια Κορέα βασίζεται σε πολλαπλές ενδείξεις: η χρονική σειρά των on-chain κινήσεων ταιριάζει με την τοπική ώρα της Πιονγκγιάνγκ, ενώ τα μοτίβα συμπεριφοράς θυμίζουν προηγούμενες επιθέσεις που αποδίδονται στο ίδιο δίκτυο — συμπεριλαμβανομένης της κλοπής 600 εκατομμυρίων δολαρίων από το Ronin Network το 2022. Σύμφωνα με την Chainalysis, το 2025 οι βορειοκορεάτες χάκερ έκλεψαν συνολικά 2,02 δισεκατομμύρια δολάρια σε κρυπτονομίσματα — νέο ετήσιο ρεκόρ. Τα κρυπτονομίσματα έχουν γίνει σταθερή πηγή χρηματοδότησης για το καθεστώς της Πιονγκγιάνγκ.
Ωστόσο, η επίθεση δεν αφήνει αλώβητη ούτε την ομάδα του Drift. Κρυπτο-δικηγόροι και ερευνητές ασφαλείας επισημαίνουν ότι ένα πρωτόκολλο που διαχειρίζεται εκατοντάδες εκατομμύρια δολάρια δεν θα έπρεπε ποτέ να επιτρέπει τη λήψη μη ελεγμένων εφαρμογών σε συσκευές συνδεδεμένες με κλειδιά πολλαπλής υπογραφής. Η απουσία διαχωρισμού μεταξύ περιβαλλόντων ανάπτυξης και κλειδιών υπογραφής, σε συνδυασμό με την αφαίρεση της περιόδου αναμονής λίγες μέρες πριν την επίθεση, θέτει ερωτήματα για την επιχειρησιακή ασφάλεια της ομάδας — ανεξάρτητα από την εξελιγμένη φύση της επίθεσης.
Αυτή η υπόθεση δεν είναι απλώς μια ακόμη κλοπή κρυπτονομισμάτων. Είναι υπενθύμιση ότι στον χώρο όπου κυκλοφορούν δισεκατομμύρια δολάρια με ελάχιστη ρύθμιση, κρατικοί παράγοντες είναι διατεθειμένοι να επενδύσουν μήνες υπομονής και πόρους για να χτίσουν εμπιστοσύνη πριν χτυπήσουν. Και αν οι ερευνητές έχουν δίκιο, παρόμοιες επιχειρήσεις μπορεί ήδη να βρίσκονται σε εξέλιξη εναντίον άλλων στόχων.
