Setkali se na konferenci, pili spolu kávu. Pak ukradli 7 miliard.

Začalo to potřesením rukou

Útočníci se poprvé objevili na velké kryptografické konferenci na podzim roku 2025. Přišli s příběhem o kvantitativním obchodním fondu, navázali rozhovor s lidmi z Driftu a začali probírat obchodní strategie.

Nebyl to jeden hovor. V následujících měsících se setkávali s týmem Driftu osobně na konferencích v několika různých zemích. Technicky zdatní, profesionálně vystupující, se znalostí toho, jak Drift funguje. Přesně takoví partneři, jaké byste chtěli mít.

Aby přesvědčili Drift o své serióznosti, vložili mezi prosincem 2025 a lednem 2026 do jeho trezoru přes milion dolarů vlastních peněz. Kdo by přece investoval milion do podvodu?

Pak přišla ta pravá rána

Jeden z pracovníků Driftu byl přesvědčen, aby si nainstaloval mobilní aplikaci přes Apple TestFlight — platformu pro testování softwaru, která obchází bezpečnostní kontroly App Storu. Další byl naveden ke klonování zdrojového kódu z repozitáře, který skupina sdílela jako nástroj pro správu trezoru. Stačilo otevřít složku. Kód se spustil tiše, bez varování.

Jakmile měli útočníci přístup do zařízení, mohli sbírat potřebné podpisy k ovládnutí protokolu.

1. dubna 2026 spustili útok. Drift přišel o 285 milionů dolarů přibližně za 12 minut. Většina ukradených prostředků byla přesunuta přes síť Ethereum.

Těsně před útokem útočníci smazali veškerou komunikaci na Telegramu i veškerý škodlivý software. Po digitální stopě — téměř nic.

Kdo za tím stojí?

Útok byl přiřknut severokorejské skupině UNC4736, známé také jako AppleJeus nebo Citrine Sleet, napojené na severokorejský Generální průzkumný úřad.

Lidé, kteří se osobně účastnili konferencí, přitom severokorejští občané nebyli — KLDR na operacích tohoto typu používá zprostředkovatele s dokonale vybudovanými profesními identitami, pracovní historií a sociálními sítěmi, které obstojí při prověřování.

Pokud bude totožnost útočníků oficiálně potvrzena, šlo by již o osmnáctý případ krádeže kryptoměn spojené s KLDR jen v letošním roce — analytická firma Elliptic jich od ledna 2026 napočítala tolik, co jiné státem sponzorované skupiny za celé roky. Severokorejské skupiny celkově ukradly v posledních letech kryptoaktiva v hodnotě přes 6,5 miliardy dolarů — americká vláda tyto příjmy přímo spojuje s financováním severokorejských zbrojních programů.

Co z toho plyne pro vás?

Možná si říkáte: „To se mě netýká, žádnou kryptoburzu neprovozuji.“ Máte pravdu. Ale mechanismus útoku je úplně stejný jako u podvodů, které potkávají lidi každý den.

Útočníci si vybrali cíl. Studovali ho. Budovali důvěru. Investovali čas i peníze. A pak udeřili v okamžiku, kdy oběť vůbec nic nečekala — protože přece tihle lidé jsou přátelé, ne hackeři.

Nezáleží na tom, jestli pracujete v kryptu, nebo prodáváte rohlíky. Pokud vás někdo žádá, abyste si nainstalovali aplikaci, otevřeli soubor nebo klikli na odkaz — zastavte se. I ti nejlepší odborníci na světě se nechali nachytat stejným trikem.

Největší zbraní hackerů dnes není kód. Je to trpělivost.

A co vy — myslíte, že byste po půl roce přátelských rozhovorů s kolegy z oboru otevřeli soubor, který vám pošlou? Nebo máte zlaté pravidlo, které by vás zachránilo?

Zdroje:

• The Hacker News: https://thehackernews.com/2026/04/285-million-drift-hack-traced-to-six.html
• TRM Labs: https://www.trmlabs.com/resources/blog/north-korean-hackers-attack-drift-protocol-in-285-million-heist
• Elliptic: https://www.elliptic.co/blog/drift-protocol-exploited-for-286-million-in-suspected-dprk-linked-attack
• CoinDesk: https://www.coindesk.com/markets/2026/04/05/drift-says-usd270-million-exploit-was-a-six-month-north-korean-intelligence-operation
• Hackread: https://hackread.com/north-korean-hackers-trading-firm-drift-protocol/