Sechsmonatige DPRK-Verschwörung hinter Drifts $285M-Exploit schockiert Krypto-Gemeinschaft

Drift Protocol hat nach der Sicherheitslücke vom 1. April, die zu einem Schaden von über 285 Millionen Dollar führte, ein detailliertes Hintergrund-Update veröffentlicht, das neue Erkenntnisse darüber liefert, wie der Angriff inszeniert wurde und warum seine Auswirkungen weit über ein einzelnes Protokoll hinausgehen.

Der Vorfall, der nun mit "mittelhoher Wahrscheinlichkeit" einer mit dem nordkoreanischen Staat verbundenen Bedrohungsgruppe zugeordnet wird, hat nicht nur ernsthafte Fragen zu den betrieblichen Sicherheitspraktiken bei DeFi aufgeworfen, sondern fiel auch mit einem starken Rückgang des Gesamtwerts von Solana zusammen. In den Tagen nach dem Exploit fiel der TVL von Solana von 6,34 Mrd. $ auf 5,55 Mrd. $, was einem Rückgang von etwa 12,5 % entspricht.

Ohne die gestohlenen Gelder spiegelt der Netto-Rückgang von etwa 8 % einen bedeutenden Vertrauenswandel bei den Nutzern wider, obwohl er unter den historischen Durchschnittswerten liegt, die nach größeren Exploits zu beobachten sind.

Eine sechsmonatige Infiltrationskampagne

Laut dem Drift-Update vom 5. April war die Sicherheitslücke nicht das Ergebnis einer einzelnen Schwachstelle, sondern einer strukturierten Operation, die sich über mehrere Monate hinzog.

Der Angriff begann im Herbst 2025, als Personen, die sich als quantitatives Handelsunternehmen ausgaben, Drift-Mitarbeiter auf einer Krypto-Konferenz ansprachen. In den folgenden sechs Monaten blieben diese Personen in ständigem Kontakt und trafen sich auf mehreren globalen Branchenveranstaltungen persönlich mit den Mitwirkenden.

Sie bewiesen fundierte technische Kenntnisse, präsentierten einen glaubwürdigen beruflichen Hintergrund und führten detaillierte Diskussionen über Handelsstrategien und Tresorintegrationen. Diese Interaktionen entsprachen dem typischen Onboarding-Verhalten von Handelsunternehmen, so dass sich die Beziehung entwickeln konnte, ohne sofort Verdacht zu erregen.

Zwischen Dezember 2025 und Januar 2026 vertiefte die Gruppe ihr Engagement, indem sie einen Ökosystem-Tresor auf Drift einrichtete, an Arbeitssitzungen teilnahm und über 1 Mio. USD an Kapital in das Protokoll einzahlte. Dadurch wurde die operative Legitimität hergestellt und das Vertrauen weiter gestärkt.

Während der gesamten Beziehung tauschte die Gruppe Links zu Tools, Anwendungen und Repositories im Rahmen von Standard-Integrationsworkflows aus. Diese Interaktionen wurden später zum zentralen Thema der Untersuchung.

Die wahrscheinlichen Angriffsvektoren

Die vorläufigen Ergebnisse von Drift deuten auf zwei Hauptangriffswege hin.

Ein Mitarbeiter wurde möglicherweise kompromittiert, nachdem er ein Code-Repository geklont hatte, das mit einem Tresor-Frontend verbunden war, das die Angreifer gemeinsam nutzten. Ein anderer Mitarbeiter hat Berichten zufolge eine TestFlight-Anwendung heruntergeladen, die als das Wallet-Produkt der Gruppe präsentiert wurde.

Sicherheitsforscher haben auch eine mögliche Verbindung zu einer bekannten Sicherheitslücke festgestellt, die Ende 2025 und Anfang 2026 Entwicklungsumgebungen wie VSCode und Cursor betraf. Diese Sicherheitslücke ermöglichte die Ausführung von beliebigem Code, indem einfach ein bösartiges Repository geöffnet wurde, ohne dass eine Benutzerinteraktion erforderlich war.

Nach der Ausnutzung der Schwachstelle ergab die forensische Analyse, dass die Kommunikationskanäle der Angreifer und die bösartige Software schnell gelöscht wurden, was auf eine koordinierte Aktion zur Beseitigung der Spuren hindeutet.

Bewertung der Bedrohung und Reaktion

Die Ermittler, einschließlich des SEAL 911-Teams, schätzten mit mittlerer bis hoher Wahrscheinlichkeit ein, dass die Operation sowohl in der Kette als auch in der Vorgehensweise Ähnlichkeiten mit dem Radiant Capital-Hack vom Oktober 2024 aufweist. Dieser Vorfall wurde zuvor UNC4736 zugeschrieben, einer dem nordkoreanischen Staat angehörenden Gruppe, die auch als AppleJeus oder Citrine Sleet bekannt ist.

Drift stellte klar, dass es sich bei den Personen, die Drift-Mitarbeiter persönlich getroffen haben, wahrscheinlich um Mittelsmänner und nicht um direkte Mitglieder der Bedrohungsgruppe handelte. Dies entspricht einer bekannten Taktik, bei der staatlich gelenkte Akteure Dritte einsetzen, um Beziehungen aufzubauen und Social Engineering-Kampagnen durchzuführen.

Mandiant wurde mit der Durchführung einer umfassenden forensischen Untersuchung beauftragt, wobei die formale Zuordnung noch aussteht.

Nach dem Angriff fror Drift alle verbleibenden Protokollfunktionen ein und entfernte die kompromittierten Wallets aus seiner Multisig. Das Team markierte außerdem die Adressen der Angreifer bei Börsen und Brückenbetreibern, um den Geldfluss zu begrenzen.

Das Protokoll arbeitet derzeit mit Strafverfolgungs- und Sicherheitspartnern zusammen, um die Ermittlungen fortzusetzen und Wiederherstellungsoptionen zu bewerten.

Reaktionen der Branche unterstreichen Sicherheitsprobleme

Der Vorfall führte zu zahlreichen Kommentaren von Branchenführern, von denen viele die Notwendigkeit stärkerer operativer Sicherheitsstandards betonten.

Lucas Bruder, Mitbegründer und CEO von Jito Labs, erklärte, dass der Vorfall das Verhalten der Branche verändern werde und fügte hinzu, dass die Branchenteilnehmer nicht "paranoid genug" gewesen seien.

Jacob Creech, Vice President of Technology bei der Solana Foundation, betonte strenge Sicherheitspraktiken und riet den Teams, die Installation unbekannter Anwendungen zu vermeiden, dedizierte Signiergeräte zu verwenden und ihre aktuellen Konfigurationen zu überprüfen.

Anatoly Yakovenko, Mitbegründer von Solana, schloss sich dieser Meinung an. Er bezeichnete den Angriff als "erschreckend" und empfahl eine physische Trennung zwischen Entwicklungs- und Signierumgebung, einschließlich dedizierter Hardware für jede Funktion.

Ein Onchain-Forscher, bekannt als Tay, merkte an, dass nordkoreanische IT-Mitarbeiter zur Entwicklung von Krypto-Protokollen beigetragen haben, die bis zum DeFi-Sommer zurückreichen, und nannte SushiSwap, THORChain, Harmony, Ankr, Shib und Yearn.

Sie fügten hinzu, dass Behauptungen über "7 Jahre Blockchain-Entwicklungserfahrung" in den Lebensläufen dieser Akteure nicht als falsch abgetan werden sollten.

Stepan Simkin, CEO von Squads Protocol, wies auf die Notwendigkeit formeller operativer Sicherheitsstandards hin und schlug Rahmenwerke vor, die mit Code-Audits oder SOC2-Zertifizierungen für das Protokollmanagement vergleichbar sind.

Debatte über Verantwortung und Fahrlässigkeit

Nicht alle Reaktionen waren wohlwollend. Ariel Givner, ein Rechtsexperte, vertrat die Ansicht, dass der Vorfall eine zivilrechtliche Fahrlässigkeit darstellen könnte. Sie kritisierte die Vermischung von Entwicklungstätigkeiten mit dem Zugang zu kritischen Systemen sowie das Fehlen grundlegender Sicherheitsvorkehrungen, wie z. B. eine abgeschirmte Signierumgebung.

Givners Kommentare spiegeln eine breitere Debatte in der Gemeinschaft über die Verantwortlichkeit und die Frage wider, ob Protokolle für vermeidbare Betriebsausfälle verantwortlich gemacht werden sollten.

Simon Dedic, Gründer und geschäftsführender Gesellschafter von Moonrock Capital, vertrat dagegen die Ansicht, dass die Raffinesse der Angreifer eine Vorbeugung extrem schwierig machte, sobald Drift zum Ziel wurde.

Ein breiterer Wandel im Sicherheitsdenken

Andere Stimmen stellten den Vorfall in einen breiteren Branchenkontext.

Lily Liu, Präsidentin der Solana Foundation, merkte an, dass Smart Contracts zwar wie erwartet funktionierten, Angreifer aber zunehmend auf menschliche Schwachstellen statt auf Code abzielen.

Redwan Meslem, Executive Director der Enterprise Ethereum Alliance, zog Vergleiche zu traditionellen Branchen wie der Luft- und Raumfahrt und dem Bankwesen, wo strenge Zugangskontrollen und Sicherheitsprotokolle Standard sind. Er argumentierte, dass die Kryptowirtschaft immer noch mit einer Sicherheitskultur auf Startup-Niveau arbeitet, obwohl sie erhebliche finanzielle Risiken eingeht.

Während die Untersuchungen weitergehen, bleibt die allgemeine Lehre klar. Die Sicherheit in DeFi muss über den Code hinausgehen und strenge Betriebsstandards, kontrollierte Umgebungen und eine Neubewertung der Art und Weise, wie Vertrauen in einer zunehmend feindlichen Umgebung aufgebaut wird, umfassen.

Lesen Sie mehr auf SolanaFloor

Titan Exchange verspricht 4x Binance Outperformance durch neuen DART Router
$BTC hält $69k, da US-Iran Waffenstillstandsgespräche scheitern

Drift Protokoll für $285 Millionen gehackt