Drift Protocol (DRIFT) veröffentlichte am 5. April ein detailliertes Incident-Update, das enthüllte, dass der 285-Millionen-Dollar-Exploit vom 1. April das Ergebnis einer sechsmonatigen Geheimdienstoperation war, die nordkoreanischen staatlich unterstützten Akteuren zugeschrieben wird.
Die Offenlegung beschreibt ein Ausmaß an Social Engineering, das weit über typische Phishing- oder Recruiter-Betrugsmaschen hinausgeht und persönliche Treffen, echte Kapitalbereitstellung und monatelangen Vertrauensaufbau umfasst.
Eine gefälschte Handelsfirma, die auf lange Sicht spielte
Laut Drift trat eine Gruppe, die sich als quantitatives Handelsunternehmen ausgab, erstmals im Herbst 2025 auf einer großen Krypto-Konferenz an Mitwirkende heran.
In den folgenden Monaten erschienen diese Personen auf mehreren Veranstaltungen in verschiedenen Ländern, hielten Arbeitssitzungen ab und führten laufende Telegram-Gespräche über Vault-Integrationen.
Folgen Sie uns auf X, um die neuesten Nachrichten in Echtzeit zu erhalten
Zwischen Dezember 2025 und Januar 2026 onboardete die Gruppe ein Ecosystem Vault auf Drift, hinterlegte über 1 Million Dollar Kapital und beteiligte sich an detaillierten Produktdiskussionen.
Bis März hatten Drift-Mitwirkende diese Personen mehrfach persönlich getroffen.
Sogar Web-Sicherheitsexperten finden dies besorgniserregend, wobei Forscherin Tay mitteilte, dass sie zunächst einen typischen Recruiter-Betrug erwartete, die Tiefe der Operation jedoch weitaus alarmierender fand.
Wie die Geräte kompromittiert wurden
Drift identifizierte drei wahrscheinliche Angriffsvektoren:
- Ein Mitwirkender klonte ein Code-Repository, das die Gruppe für ein Vault-Frontend teilte.
- Ein zweiter lud eine TestFlight-Anwendung herunter, die als Wallet-Produkt präsentiert wurde.
- Für den Repository-Vektor verwies Drift auf eine bekannte VSCode- und Cursor-Schwachstelle, die Sicherheitsforscher seit Ende 2025 gemeldet hatten.
Diese Schwachstelle erlaubte es beliebigem Code, sich lautlos auszuführen, sobald eine Datei oder ein Ordner im Editor geöffnet wurde, ohne dass eine Benutzerinteraktion erforderlich war.
Nach dem Abfluss vom 1. April löschten die Angreifer alle Telegram-Chats und Schadsoftware. Drift hat seitdem die verbleibenden Protokollfunktionen eingefroren und kompromittierte Wallets aus dem Multisig entfernt.
Das SEALS 911-Team bewertete mit mittlerer bis hoher Zuversicht, dass dieselben Bedrohungsakteure den Radiant Capital-Hack vom Oktober 2024 durchführten, den Mandiant UNC4736 zuschrieb.
On-Chain-Geldflüsse und operative Überschneidungen zwischen den beiden Kampagnen unterstützen diese Verbindung.
Branche fordert Sicherheitsüberprüfung
Armani Ferrante, ein prominenter Solana-Entwickler, forderte jedes Krypto-Team auf, Wachstumsbemühungen zu pausieren und ihren gesamten Sicherheitsstack zu überprüfen.
Drift merkte an, dass die Personen, die persönlich erschienen, keine nordkoreanischen Staatsangehörigen waren. DPRK-Bedrohungsakteure auf diesem Niveau sind dafür bekannt, Drittanbieter-Vermittler für persönliche Begegnungen einzusetzen.
Mandiant, das Drift für Geräteforensik beauftragt hat, hat den Exploit noch nicht formell zugeschrieben.
Die Offenlegung dient als Warnung für das breitere Ökosystem. Drift forderte Teams auf, Zugriffskontrollen zu überprüfen, jedes Gerät, das ein Multisig berührt, als potenzielles Ziel zu behandeln und SEAL 911 zu kontaktieren, wenn sie ähnliche Angriffe vermuten.
Der Beitrag Drift Protocol's $285 Million Heist Started With a Handshake and 6 Months of Trust erschien zuerst auf BeInCrypto.
Quelle: https://beincrypto.com/drift-north-korea-spy-operation-hack/
