북한과 연계된 해킹 조직이 암호화폐 거래 플랫폼 드리프트 프로토콜(Drift Protocol)에서 2억 7,000만 달러(약 4,090억원)을 훔쳤다.

이들은 단순히 컴퓨터를 해킹한 게 아니라, 무려 6개월 동안 정상적인 투자회사인 척 위장해 신뢰를 쌓아온 것으로 밝혀졌다. 공격자들은 2025년 12월부터 자기 돈 100만 달러(15억원)을 직접 맡기고, 여러 나라 블록체인 행사에서 드리프트 직원들과 직접 만나며 관계를 다졌다. 이름·직장경력·SNS 계정까지 완전히 꾸며낸 가짜 신분을 이용했으며, 반년이 지난 뒤에야 실제 공격을 감행했다.

해킹은 두 가지 방법으로 이뤄졌는데, 하나는 악성 앱이고, 다른 하나는 개발자들이 많이 쓰는 코드 편집 프로그램 비에스코드(VSCode)·커서(Cursor)의 보안 구멍이었다.

이를 통해 직원 컴퓨터를 장악한 뒤, 여러 명의 동의가 있어야 자금을 움직일 수 있는 다중서명 시스템의 승인을 가로채 4월 1일 돈을 빼갔다.

드리프트 측은 이번 사건이 블록체인 금융 업계 전반의 보안 허점을 드러낸 것이라며, 보안 체계를 전면 재검토해야 한다고 밝혔다.