Drift Protocol (DRIFT) veröffentlichte am 5. April ein detailliertes Update zu einem Vorfall. Dabei wurde bekannt, dass der Exploit über 285 Millionen USD am 1. April das Ergebnis einer halbjährigen Spionageaktion war, die staatlich unterstützten Gruppierungen aus Nordkorea zugeschrieben wird.
Die Veröffentlichung beschreibt Social Engineering, das weit über typische Phishing- oder Anwerbeversuche hinausgeht. Dies umfasste persönliche Treffen, echten Kapitaleinsatz und monatelangen Vertrauensaufbau.
Scheinunternehmen im Handel: So gelang der Langzeitbetrug
Laut Drift trat eine Gruppe, die sich als quantitative Handelsfirma ausgab, erstmals auf einer großen Kryptowährungskonferenz im Herbst 2025 mit Beitragsleistenden in Kontakt.
In den folgenden Monaten nahmen diese Personen an mehreren Veranstaltungen in verschiedenen Ländern teil, führten gemeinsame Sessions durch und hielten laufende Telegram-Unterhaltungen über Tresor-Integrationen.
Folgen Sie uns auf X, um die neuesten Nachrichten in Echtzeit zu erhalten.
Zwischen Dezember 2025 und Januar 2026 richtete die Gruppe einen Ecosystem Vault auf Drift ein, zahlte mehr als 1 Million USD ein und nahm an detaillierten Produktgesprächen teil.
Bis März hatten sich Drift-Beitragsleistende mehrfach persönlich mit diesen Personen getroffen.
„…die gefährlichsten Hacker sehen nicht wie Hacker aus”, kommentierte der Krypto-Entwickler Gautham.
Sogar Web-Sicherheitsexperten zeigen sich besorgt. Forscherin Tay erklärte, sie habe zunächst mit einem typischen Anwerbeversuch gerechnet, fand die Tiefe der Operation jedoch deutlich alarmierender.
Wie die Geräte kompromittiert wurden
Drift identifizierte drei wahrscheinliche Angriffspfade:
- Ein Beitragsleistender klonte ein von der Gruppe bereitgestelltes Code-Repository für eine Tresor-Oberfläche.
- Ein zweiter lud eine TestFlight-Anwendung herunter, die als Wallet-Produkt vorgestellt wurde.
- Für das Repository wies Drift auf eine bekannte Schwachstelle in VSCode und Cursor hin, die Sicherheitsexperten bereits Ende 2025 gemeldet hatten.
Diese Schwachstelle ermöglichte es, dass beliebiger Code stillschweigend ausgeführt werden konnte, sobald eine Datei oder ein Ordner im Editor geöffnet wurde, ohne dass Nutzer eingreifen mussten.
Nach dem Angriff am 1. April löschten die Angreifer sämtlichen Telegram-Verkehr und die schädliche Software. Drift hat seitdem verbleibende Protokollfunktionen eingefroren und kompromittierte Wallets aus dem Multisig entfernt.
Das SEALS 911 Team kam mit mittelhoher Zuverlässigkeit zu dem Schluss, dass die gleichen Täter auch für den Radiant Capital Hack im Oktober 2024 verantwortlich waren, den Mandiant der Gruppe UNC4736 zuschrieb.
Zudem stützen On-Chain-Transaktionen und Parallelen im Ablauf beider Angriffe diese Verbindung.
Branche fordert grundlegende Sicherheitsmaßnahmen
Armani Ferrante, ein bekannter Solana-Entwickler, rief alle Kryptowährungs-Teams dazu auf, Wachstumspausen einzulegen und ihre gesamte Sicherheitsarchitektur zu überprüfen.
„Jedes Team in der Kryptowährungs-Branche sollte dies als Chance sehen, das Tempo zu drosseln und sich auf Sicherheit zu konzentrieren. Wenn möglich, stellen Sie dafür ein eigenes Team ab… Sie können nicht wachsen, wenn Sie gehackt werden”, sagte Ferrante in einem Beitrag.
Drift betonte, dass die persönlich anwesenden Personen keine nordkoreanischen Staatsangehörigen waren. In solchen Fällen setzen Akteure aus der DVRK oftmals Drittpersonen für persönliche Kontakte ein.
Mandiant, das von Drift mit der Geräte-Forensik beauftragt wurde, hat die Verantwortung für den Exploit bislang noch nicht offiziell zugeordnet.
Die Veröffentlichung soll als Warnung an das gesamte Ökosystem dienen. Drift riet Teams, Zugriffsrechte zu prüfen, jedes Gerät mit Zugriff auf ein Multisig als potenzielles Angriffsziel zu betrachten und SEAL 911 zu kontaktieren, falls sie ähnliche Aktivitäten vermuten.
