Was zunächst wie ein plötzlicher Exploit aussah, hat sich nun als langfristige, hochkoordinierte Operation herausgestellt. Drift Protocol hat bekannt gegeben, dass der 270-Millionen-Dollar-Hack das Ergebnis einer sechsmonatigen Infiltrationskampagne war, die angeblich mit nordkoreanischen staatlich unterstützten Akteuren in Verbindung steht.
Anstatt eine einfache Schwachstelle auszunutzen, bauten die Angreifer langsam Vertrauen auf, indem sie sich als legitimes quantitatives Handelsunternehmen ausgaben und sich in das Ökosystem einbetteten. Ihr Ansatz ging über digitale Täuschung hinaus. Sie engagierten sich direkt mit Mitwirkenden, besuchten Krypto-Konferenzen und etablierten Beziehungen, die auf jeder Ebene glaubwürdig erschienen.
Dies war kein Blitzüberfall. Es war kalkuliert, geduldig und darauf ausgelegt, nicht nur technische Abwehrmaßnahmen, sondern auch menschliches Vertrauen zu umgehen.
Erster Kontakt beginnt auf Krypto-Konferenzen
Die Operation begann Berichten zufolge im Herbst 2025, als die Angreifer auf einer großen Krypto-Konferenz erstmals Kontakt aufnahmen. Zu diesem Zeitpunkt gab es keine unmittelbaren Warnsignale. Die Gruppe präsentierte sich als technisch versierte Fachleute mit überprüfbaren Hintergründen.
Sie sprachen die Sprache von DeFi (Dezentralisierte Finanzen) fließend und zeigten ein tiefes Verständnis für Drifts Infrastruktur und Handelsmechanismen. Dieses Fachwissen half ihnen, sich nahtlos mit legitimen Mitwirkenden und Partnern zu vermischen.
Kurz darauf verlagerte sich die Kommunikation auf Telegram, wo die Diskussionen über mehrere Monate fortgesetzt wurden. Diese Interaktionen waren weder überstürzt noch verdächtig. Stattdessen spiegelten sie den Rhythmus echter Zusammenarbeit wider, komplett mit technischen Diskussionen, strategischen Beiträgen und fortlaufendem Engagement.
Durch die Aufrechterhaltung von Konsistenz und Glaubwürdigkeit bauten die Angreifer allmählich Vertrauen innerhalb der Community auf.
Vertrauensaufbau durch Kapital und Zusammenarbeit
Bis Januar 2026 hatte die Gruppe ihr Engagement noch weiter ausgebaut. Sie integrierten erfolgreich einen Ökosystem-Tresor und begannen, an Arbeitssitzungen gemeinsam mit Drift-Mitwirkenden teilzunehmen.
Entscheidend war, dass sie auch echtes Kapital einsetzten und über 1 Million Dollar ihrer eigenen Mittel in das Protokoll einzahlten. Dieser Schritt verstärkte ihre Legitimität und signalisierte, dass sie ein persönliches Interesse hatten.
Im Februar und März trafen Mitglieder des Drift-Ökosystems diese Personen persönlich in mehreren Ländern. Diese persönlichen Interaktionen fügten eine weitere Vertrauensebene hinzu und machten es noch unwahrscheinlicher, dass ihre Absichten in Frage gestellt würden.
Zum Zeitpunkt der Ausführung des Angriffs war die Beziehung zwischen den Angreifern und der Community seit fast sechs Monaten etabliert. Es war ein Grad der Infiltration, der bei DeFi-Exploits selten zu sehen ist.
Angriffsausführung nutzte ausgeklügelte Einstiegspunkte
Als die Kompromittierung schließlich erfolgte, geschah dies über zwei hochgradig gezielte Vektoren.
Der erste beinhaltete eine bösartige TestFlight-Anwendung, die als legitimes Wallet-Produkt präsentiert wurde. Dies ermöglichte es den Angreifern, unter dem Deckmantel des Testens neuer Tools Zugriff auf Geräte von Mitwirkenden zu erhalten.
Der zweite Vektor nutzte eine bekannte Schwachstelle in Entwicklungsumgebungen wie VSCode und Cursor aus. Dieser Fehler, der Monate zuvor von der Sicherheits-Community gemeldet wurde, ermöglichte die Ausführung von beliebigem Code einfach durch Öffnen einer Datei.
Zusammen ermöglichten diese Methoden den Angreifern, wichtige Geräte zu kompromittieren, ohne sofortigen Verdacht zu erregen. Einmal drinnen, konnten sie auf sensible Arbeitsabläufe und Genehmigungsmechanismen zugreifen.
Diese Phase der Operation unterstreicht eine kritische Verschiebung in Angriffsstrategien. Anstatt Smart-Contracts (Intelligente Verträge) direkt anzugreifen, konzentrieren sich Angreifer zunehmend auf die menschlichen und werkzeugbezogenen Ebenen, die sie umgeben.
Multisig-Schwächen beim finalen Abfluss aufgedeckt
Mit gesichertem Zugang gingen die Angreifer zur finalen Phase über: Ausführung.
Sie erhielten zwei Multisig-Genehmigungen, die dann zur Autorisierung von Transaktionen verwendet wurden. Bemerkenswerterweise waren diese Transaktionen vorab signiert und über eine Woche lang ruhend gelassen worden, um eine sofortige Erkennung zu vermeiden.
Am 01.04. handelten die Angreifer. In weniger als einer Minute wurden ungefähr 270 Millionen Dollar aus Drifts Tresoren abgezogen.
Die Geschwindigkeit und Präzision der Ausführung ließen wenig Raum für Intervention. Als die Transaktionen erkannt wurden, waren die Mittel bereits verschoben worden.
Drift hat seitdem gewarnt, dass dieser Vorfall grundlegende Schwächen in Multisig-basierten Sicherheitsmodellen aufdeckt. Während Multisig-Systeme darauf ausgelegt sind, Vertrauen zu verteilen, bleiben sie anfällig, wenn die Unterzeichner selbst kompromittiert sind.
Verbindungen zu nordkoreanischen staatlichen Akteuren tauchen auf
Untersuchungen des Angriffs haben die Operation mit UNC4736 in Verbindung gebracht, einer Gruppe, die auch als AppleJeus oder Citrine Sleet bekannt ist. Diese Einheit wird weitgehend mit nordkoreanischen Cyber-Operationen in Verbindung gebracht und wurde mit früheren hochkarätigen Exploits in Verbindung gebracht, einschließlich des Radiant Capital-Angriffs.
Interessanterweise wurden die Personen, die direkt mit Drift-Mitwirkenden interagierten, nicht als nordkoreanische Staatsangehörige identifiziert. Stattdessen scheinen sie Drittanbieter-Vermittler gewesen zu sein, ausgestattet mit sorgfältig konstruierten Identitäten, die darauf ausgelegt waren, einer Überprüfung standzuhalten.
Dieser geschichtete Ansatz macht die Zuordnung komplexer und erhöht gleichzeitig die Wirksamkeit der Operation. Durch die Trennung der Akteure vor Ort von der koordinierenden Einheit konnten die Angreifer während der gesamten Infiltration plausible Legitimität aufrechterhalten.
Ein Weckruf für DeFi-Sicherheitsmodelle
Der Drift-Exploit zwingt die Branche, sich einer unangenehmen Realität zu stellen. Traditionelle Sicherheitsmodelle, die sich auf Code-Audits, Smart-Contract-Schwachstellen und Multisig-Schutzmaßnahmen konzentrieren, reichen möglicherweise nicht aus, um sich gegen Gegner zu verteidigen, die bereit sind, Zeit, Geld und menschliche Ressourcen zu investieren.
Wenn Angreifer sechs Monate damit verbringen können, Beziehungen aufzubauen, Kapital einzusetzen, um Vertrauen zu gewinnen, und sich physisch mit Teams zu treffen, erstreckt sich die Angriffsfläche weit über den Code hinaus.
Dies wirft eine kritische Frage für das DeFi-Ökosystem auf: Welche Art von Sicherheitsrahmen kann dieses Niveau der Infiltration erkennen und verhindern?
Vorerst gilt der Vorfall als einer der ausgeklügeltsten Social-Engineering-getriebenen Exploits in der Krypto-Geschichte. Er unterstreicht die Notwendigkeit eines ganzheitlicheren Sicherheitsansatzes, der menschliches Verhalten, operative Prozesse und die zunehmend verschwimmenden Grenzen zwischen Online- und Offline-Interaktionen berücksichtigt.
Während Protokolle weiter wachsen und mehr Kapital anziehen, werden die Einsätze nur steigen. Und wie dieser Fall zeigt, kommt die nächste Generation von Angriffen möglicherweise nicht von anonymen Wallets, sondern von vertrauenswürdigen Partnern, die am Tisch gegenüber sitzen.
Offenlegung: Dies ist keine Handels- oder Anlageberatung. Führen Sie immer Ihre eigenen Recherchen durch, bevor Sie Kryptowährungen kaufen oder in Dienstleistungen investieren.
Folgen Sie uns auf Twitter @nulltxnews um über die neuesten Krypto-, NFT-, KI-, Cybersicherheits-, Distributed-Computing- und Metaverse-Nachrichten auf dem Laufenden zu bleiben!
Quelle: https://nulltx.com/north-korea-linked-group-behind-270m-drift-hack-six-month-plot-revealed/
