드리프트 완전 털림.
순식간에 2억8500만 달러 날아감 — 스마트 컨트랙트 버그 하나 건드리지 않은 북한 프로 해커들의 작품. 옛날식 접근에 반전: 지속 논스와 최고급 사회공학. 할머니 피싱하는 수준이 아니라, 수십억 달러 규모 프로토콜의 멀티시그 키를 노린 거지.
공격은 2026년 4월 1일 발생 — 만우절 아니야. 드리프트 공식 발표 그대로:
“오늘 오전, 악의적 행위자가 지속 논스를 이용한 새로운 공격으로 드리프트 프로토콜에 무단 접근해 드리프트 보안 위원회의 관리 권한을 빠르게 장악했습니다.”
교묘했나? 당연하지. 수주간 준비, 잠복한 사전 서명 트랜잭션. 서명자들을 속여 미리 수상한 걸 승인받은 뒤, 쾅 — 수분 만에 관리권 탈취. 가짜 자산 투입 (안녕, CarbonVote 토큰), 출금 한도 박살, 자금 증발.
지속 논스란 대체 뭘까?
솔라나에서 논스는 트랜잭션 티켓 같은 거. 지속 논스는 남아 있어 나중에 사전 서명하고 실행 가능. 해커들이 이걸 무기로 삼아 멀티시그 홀더들 속임 — 아마 LinkedIn 가짜 프로필이나 허위 채용 제안으로. TRM Labs가 정확히 짚음:
“치명적 취약점은 스마트 컨트랙트 버그가 아니라, 사회공학으로 멀티시그 서명자들을 사전 승인 숨긴 권한에 끌어들이고 제로 타임락 보안 위원회 마이그레이션으로 프로토콜의 마지막 방어를 무너뜨린 조합입니다.”
드리프트는 시드 프레이즈 유출 없고 코드 결함 없다고 주장. 좋아. 하지만 보안 위원회? 멀티시그 꿈의 무대가 피냐타로 변함.
준비는 3월 23일 시작. 해킹 당일엔 키 확보 — 말 그대로. 소액 유동성으로 가짜 토큰 민팅, 워시 트레이딩으로 거래량 위장, 드리프트 오라클이 정당 담보로 삼음. 수억 달러 해제. 퍽.
Elliptic과 TRM 모두 DPRK 냄새 풀풀. 첫 번째 Tornado Cash 믹서, 다음 크로스체인 브리지. Bybit 2025년 대형 강도 사건(14억6000만 달러?)과 세탁 속도 일치. CarbonVote는 평양 시간 9시 30분 배포 — 교묘하네.
이건 고립 사태 아냐. DPRK 최근 크립토 절도 65억 달러, 미사일 자금 등. 2025년만 해도 기록 20억 달러. 올해 18건 공격, 3억 달러 이상. Elliptic 판결:
“미국 정부가 무기 프로그램 자금 조달로 연결한 DPRK의 대규모 크립토 자산 절도 지속 캠페인의 연장선입니다.”
사회공학이 그들의 특기 — DangerousPassword, Contagious Interview 캠페인으로 올해 3750만 달러. 이제 AI가 더해져 완벽 미끼 제작. 개발자, 서명자, 지갑 보유자? 타겟 연습.
내 뜨끈한 의견 — 방금 나온 거: 2014 Mt. Gox 사태(코드 아닌 사회공학) 재현. 하지만 드리프트? ‘전투 검증’ 멀티시그 있었음. 교훈? 멀티시그 강도 = 가장 약한 LinkedIn 프로필. 대담 예측: 2027년까지 DeFi 프로토콜, AI 가디언 아니면 인간 서명자 버리고 멸종 위기. DPRK가 이미 AI 피싱 업그레이드 중인데 왜 안 해?
드리프트 분주 — 보안 업체, 브리지, 경찰 투입. 자금 추적 중, 일부 동결될 수 있음. 하지만 2억8500만 달러? 소규모 전쟁 자금.
왜 DPRK가 크립토 강도에서 계속 이길까?
국가 자원. 오버헤드 없음. 무료 AI 도구. 둔한 랜섬웨어에서 이 논스 닌자술로 진화. UNC1069이 Axios npm 노린 거 기억나? 같은 패거리 — BlueNoroff 겹침. 공급망, 사회공학, 반복.
DeFi 과대 광고는 멀티시그 ‘불변 보안’이라고. 헛소리. 인간이 사전 독 클릭하는 거. 드리프트 위원회 마이그레이션? 제로 타임락. 마지막 방어? 증발.
PR 핑계? 드리프트 ‘프로그램 취약점 없음’. 귀엽네. 오라클이 워시 트레이딩 쓰레기 승인? 감사 촉구하는 프로세스 실패.
솔라나 빠르고 저렴 — 고양이 밈 거래 좋음. 하지만 ‘안전’? 국가가 위원회를 멍청이 취급할 때? 웃기지.
이번 해킹 후 드리프트 끝장날까?
단기? 사용자 도주. 신뢰 불태움. 장기? 서명자 없는 멀티시그나 임계 암호로 재건하면 — 어쩌면. 하지만 DPRK 플레이북 주간 진화. 잠 안 자는(벙커에서 자는) 프로 상대 추격전.
업계 깨달음: 사회공학 ‘비기술적’ 아님. 치명타. 서명자들 CIA 요원처럼 훈련. 모든 tx 핵미사일처럼 검증.
안 하면. 평양에 수십억 더 바쳐.
드리프트 타임라인, 수주간 스테이징. 그런데 경보 없음? 보안 위원회… 대체 뭐냐?
이번 해킹, DeFi 약점 드러냄. 기술 반짝; 인간? 물렁. DPRK 앎. 고치거나 퍼레이드 자금 내놔.
🧬 Related Insights
- Read more: Linx Security’s $50M Gamble on AI Identity Wrangling
- Read more: DeepLoad: AI’s Junk Code Arsenal Redefines Malware Stealth
Frequently Asked Questions
솔라나에서 지속 논스 공격이란?
지속 논스는 트랜잭션 사전 서명하고 실행 지연 가능 — 멀티시그 서명자 속여 나중에 터지는 숨긴 악의를 승인하게 함.
드리프트 2억8500만 달러 해킹에 DPRK가?
온체인 징후 강력: 평양 시간 배포, Tornado Cash, Bybit 스타일 세탁. Elliptic, 올해 18번째라 함.
DeFi가 사회공학 해킹 막으려면?
순진한 멀티시그 버리고 AI 모니터링 서명자 없는 체계로. 모든 승인자 스파이처럼 검증. 오라클 감사 — 가짜 토큰 통째로 삼음.
