Drift Potwierdza: Hack Wartości 285 Milionów Dolarów Był Sześciomiesięczną Operacją Wywiadu Północnokoreańskiego — Poznaj UNC4736

Od Konferencji Kryptowalut do Exploitu: Anatomia Operacji Wywiadu

W 5 kwietnia 2026 roku Drift Protocol opublikował szczegółową analizę ataku wartości 285 milionów dolarów, który miał miejsce 1 kwietnia. Ujawnienie zmienia narrację sprawy: nie był to exploitacyjny exploit, była to sześciomiesięczna operacja wywiadu przeprowadzona przez nordkorańską grupę państwową o kodzie UNC4736 — znaną również jako AppleJeus, Citrine Sleet, Golden Chollima i Gleaming Pisces.

Ten przypadek jest do tej pory największym hacktem DeFi w 2026 roku. Jest to również lekcja na temat tego, jak obecna era przestępczości kryptowalutowej wygląda znacznie bardziej jak tradycyjny szpiegostwo niż włamanie poprzez luki w kodzie.

Kompletna Oś Czasu

Jesień 2025: Pierwszy Kontakt

Oficjalne rozpoczęcie miało miejsce na dużej konferencji kryptowalut w drugiej połowie 2025 roku. Agenci UNC4736, przedstawiając się jako reprezentanci firmy handlu ilościowego, nawiązali kontakt z współtwórcami Drift Protocol. Argumentacja: integracja zautomatyzowanych strategii handlowych poprzez system Ecosystem Vaults protokołu.

To jest kluczowy szczegół, który wyróżnia operację od konwencjonalnych ataków. Hakerzy nie zbliżyli się do perimetru bezpieczeństwa — zaproponowali się wejść głównym wejściem jako legalni partnerzy.

Grudzień 2025 – Styczeń 2026: Formalna Infiltracja

Grupa ukończyła proces wdrożenia Ecosystem Vault, wypełniając formularz szczegółami strategii. Podczas tej fazy:

• Wykazali dogłębną wiedzę techniczną, zadając zaawansowane pytania na temat produktu
• Zdeponowali ponad 1 milion dolarów własnych funduszy — demonstracja "skin in the game", która wyeliminowała początkowe podejrzenia
• Nawiązali relacje osobiste z wieloma współtwórcami poprzez Telegram, Discord i rozmowy
• Stopniowo zintegrowali się z codzienną operacją protokołu

Luty – Marzec 2026: Eskalacja

Z ustaloną pozycją przyszły wektory kompromitacji:

Wektor 1 — Złośliwy Kod poprzez "Frontend Deployment"

Grupa udostępniła repozytorium Git jednemu ze współtwórców, twierdząc, że jest to niestandardowy frontend dla ich vault. Po sklonowaniu i uruchomieniu kodu lokalnie współtwórca został skompromitowany — malware ustanowił trwałość w systemie operacyjnym i zaczął eksfiltrować klucze i poświadczenia.

Wektor 2 — Uzbrojony TestFlight

W przypadku drugiego współtwórcy taktyka była jeszcze bardziej wyrafinowana. Grupa przedstawiła "wersję beta" aplikacji poprzez Apple TestFlight, opisując ją jako "produkt portfela", nad którym pracowała firma. Po zainstalowaniu aplikacji współtwórca skompromitował swoje urządzenie — i środowisko, w którym przechowywał czułe klucze.

Użycie TestFlight jest szczególnie złośliwe: system Apple przekazuje fałszywe poczucie bezpieczeństwa (przegląd, podpis cyfrowy, Apple ID). Jednak wersje beta można rozpowszechniać ze złośliwym kodem, jeśli recenzenci Apple nie wykryją zachowania śpiącego.

1 kwietnia 2026: Egzekucja

Z wystarczającym dostępem do wewnętrznej infrastruktury Drift, grupa wykonała atak, który analizowaliśmy szczegółowo w poprzednim raporcie: 31 transakcji w 12 minut, wyczyszczenie 285 milionów dolarów w wielu aktywach, użycie trwałych kont nonce i manipulacja wyrocznią poprzez token fałszerski (CarbonVote).

Kim Jest UNC4736

Grupa, śledzona przez wiele firm zajmujących się inteligenteją zagrożeń (Mandiant, Microsoft, Google TAG), jest jedną z najbardziej aktywnych jednostek nordkorańskiego aparatu cybernetycznego. Jej kody odzwierciedlają sposób, w jaki każde badanie ją mapuje:

• AppleJeus: historyczna nazwa, używana od czasów kampanii trojanów w aplikacjach handlu kryptowalutami (2018+)
• Citrine Sleet: taksonomia Microsoft
• Golden Chollima: taksonomia CrowdStrike
• Gleaming Pisces: taksonomia Palo Alto Networks

Wszystkie te oznaczenia wskazują na tego samego aktora państwowego powiązanego z Biurem Rozpoznania Ogólnego (RGB) DPRK — agencją wywiadu, która również nadzoruje niesławny Lazarus Group.

Dlaczego To Ważne Dla Całego DeFi

Nowa Norma: Infiltracja, Nie Inwazja

Przez lata narracja hacka DeFi brzmiała "bug smart kontraktu" lub "awaria multisig". Drift reprezentuje brutalną ewolucję: ataki łańcucha ludzkiego wykorzystujące procesy administracyjne, zaufanie interpersonalne i narzędzia współpracy. Dobrze audytowany kod nie chroni przed tym.

Ecosystem Vaults Jako Nowy Wektor

Protokoły umożliwiające integrację strategii przez strony trzecie będą musiały drastycznie przeanalizować due diligence partnerów. Pytania, które nie były standardem:

• Weryfikacja rzeczywistej tożsamości operatorów (KYC partnerów)
• Analiza funduszy — pochodzenie kapitału z "tajemniczych firm ilościowych"
• Due diligence referencji branżowych
• Limity ekspozycji na nowego partnera
• Izolowana piaskownica dla kodu lub aplikacji udostępnianych

Bezpieczeństwo Operacyjne Współtwórców

Dla programistów pracujących nad protokołami DeFi:

• Nigdy nie klonuj repozytoriów od niezweryfikowanych kontaktów na maszynach z dostępem do kluczy
• Używaj maszyn air-gapped lub jednorazowych VM do testowania kodu zewnętrznego
• Bądź nieufny wobec zaproszeń TestFlight od trzecich stron — nawet jeśli wyglądają prawidłowo
• Rzeczywisty multisig z portfelami sprzętowymi dla każdego podpisu — kompromitacja 1 z 5 nie powinna dawać wystarczającego dostępu
• Blokady czasowe 24-48h dla operacji administracyjnych

Czy Pieniądze Zniknęły?

Po-upadek Drift podsumowuje się do wyścigu z czasem:

• Znaczna część została skonwertowana na USDC — Circle już zablokował zidentyfikowane adresy
• Część stała się SOL i ETH, z przepływami cross-chain poprzez znane mosty
• Tether znajduje się pod presją, aby zablokować skradzione USDT (5,6 miliona dolarów)
• Wzorce prania spójne z mikserami, P2P OTC i ewentualną konwersją na waluty fiducjarne poprzez azjatyckie giełdy

Wstępne szacunki sugerują, że 30-50% funduszy zostanie odzyskane lub zablokowane. Reszta prawdopodobnie wejdzie na ten sam kanał, który finansował ponad 6 miliardów dolarów skradzionych przez DPRK od 2017 roku — wspierając programy jądrowe i rakietowe.

Odpowiedź Regulacyjna i Rynkowa

Przypadek Drift przyspiesza trzy dyskusje:

1. Bezpieczeństwo DeFi jako priorytet regulacyjny: SEC, OFAC i europejskie odpowiedniki dyskutują minimalne wymagania frameworku bezpieczeństwa
2. Stablecoiny i siła zamrażania: wzmacnia argument, że scentralizowani emitenci (Circle, Tether) mają rolę systemową — zarówno pozytywną (zamrażanie kradzieży) jak i niepokojącą (cenzura)
3. Międzynarodowa współpraca anty-DPRK: Ameryk. Skarb (OFAC), Korea Południowa (FIU) i Japonia koordynują sankcje na zidentyfikowane adresy

Zakończenie: Era Hacków Ludzkich

Drift Protocol jest najbardziej pouczającym przypadkiem nowego pokolenia zagrożeń. Nie ma firewalla, który zatrzyma inżyniera społecznego, który spędza sześć miesięcy na budowaniu zaufania. Nie ma audytowanego smart kontraktu, który opiera się skompromitowanemu kluczowi administracyjnemu. I nie ma whitehata, który mógłby wycofać fundusze, które już przeszły pięć mostów i trzy miksery.

Lekcja dla ekosystemu jest niewygodna, ale konieczna: DeFi musi profesjonalizować bezpieczeństwo operacyjne na poziomie tradycyjnych firm finansowych. Kontrola pochodzenia partnerów, wewnętrzna compliance, segregacja dostępów, symulacja ataków. Era "ufaj ale weryfikuj" zamienia się w "nigdy nie ufaj, zawsze weryfikuj" — a koszt nieuczenia się tego mierzony jest w setkami milionów.

Tymczasem grupa UNC4736 prawdopodobnie już rozpoczęła swój następny sześciomiesięczny cykl na innej konferencji kryptowalut. Bronią jest cierpliwość. Celem jest finansowanie rakiet. I Drift nie będzie ostatnim.

Ostrzeżenie: Ta zawartość ma charakter informacyjny i opiera się na oficjalnych komunikatach Drift Protocol i publicznych analizach firm zajmujących się inteligenteją zagrożeń. Nie stanowi rekomendacji inwestycyjnej.