Ein sechsmonatiger Aufklärungs- und Spionageeinsatz ging dem Exploit in Höhe von 270 Millionen US-Dollar gegen das Drift Protocol voraus und wurde laut einem detaillierten Incident-Update, das das Team am Sonntag zuvor veröffentlicht hatte, von einer nordkoreanischen, staatlich verbundenen Gruppe durchgeführt.
Die Angreifer nahmen erstmals etwa im Herbst 2025 bei einer großen Krypto-Konferenz Kontakt auf und stellten sich dabei als ein quantitativer Trading-Firm dar, das sich in Drift integrieren wolle.
Sie seien technisch versiert gewesen, hätten nachprüfbare berufliche Hintergründe vorweisen können und verstanden, wie das Protokoll funktionierte, sagte Drift. Es wurde eine Telegram-Gruppe eingerichtet, und was folgte waren Monate inhaltsreicher Gespräche über Handelsstrategien und Vault-Integrationen – Interaktionen, die für das Onboarding von Trading-Firmen bei DeFi-Protokollen üblich sind.
Zwischen Dezember 2025 und Januar 2026 schaltete die Gruppe einen Ecosystem Vault auf Drift frei, hielt mehrere Arbeitssitzungen mit Beitragsleistenden ab, hinterlegte über 1 Million US-Dollar an eigenem Kapital und baute eine funktionierende operative Präsenz innerhalb des Ökosystems auf.
Drift-Beitragsleistende trafen Personen aus der Gruppe im Zeitraum zwischen Februar und März bei mehreren großen Branchenkonferenzen in mehreren Ländern persönlich. Bis der Angriff am 1. April startete, bestand die Beziehung bereits seit fast einem halben Jahr.
Die Kompromittierung scheint über zwei Vektoren erfolgt zu sein.
Ein zweiter Vektor bestand darin, dass eine TestFlight-Anwendung heruntergeladen wurde – Apples Plattform zum Verteilen von Pre-Release-Apps, die die App-Store-Sicherheitsprüfung umgeht. Diese Anwendung präsentierte die Gruppe als ihr Wallet-Produkt.
Für den Repository-Vektor wies Drift auf eine bekannte Schwachstelle in VSCode und Cursor hin, zwei der am weitesten verbreiteten Code-Editoren in der Softwareentwicklung. Die Sicherheitscommunity hatte diese Schwachstelle bereits seit Ende 2025 im Blick, bei der allein das Öffnen einer Datei oder eines Ordners im Editor genügte, um still und ohne Eingabeaufforderung oder Warnung beliebigen Code auszuführen.
Nachdem die Geräte kompromittiert waren, hatten die Angreifer das, was sie brauchten, um die beiden Multisig-Zustimmungen einzuholen, die den dauerhaften Nonce-Angriff ermöglichten, den CoinDesk bereits in dieser Woche ausführlich beschrieben hatte. Diese vorab signierten Transaktionen lagen mehr als eine Woche lang ungenutzt, bevor sie am 1. April ausgeführt wurden und innerhalb von weniger als einer Minute 270 Millionen US-Dollar aus den Vaults des Protokolls abfließen ließen.
Die Zuordnung deutet auf UNC4736 hin, eine nordkoreanisch staatlich verbundene Gruppe, die außerdem auch als AppleJeus oder Citrine Sleet geführt wird. Grundlage dafür sind sowohl On-Chain-Geldflüsse, die bis zu den Radiant-Capital-Angreifern zurückverfolgt werden, als auch die operative Überschneidung mit bekannten in DPRK verorteten Personen.
Die Personen, die bei den Konferenzen persönlich erschienen, waren allerdings keine nordkoreanischen Staatsangehörigen. DPRK-Threat-Actoren auf diesem Niveau sind dafür bekannt, Drittparteien als Vermittler einzusetzen, mit vollständig ausgearbeiteten Identitäten, Beschäftigungsverläufen und beruflichen Netzwerken, die darauf ausgelegt sind, einer Due-Diligence-Prüfung standzuhalten.
Drift forderte andere Protokolle auf, Zugriffskontrollen zu auditieren und jedes Gerät, das einen Multisig berührt, als potenzielles Ziel zu behandeln. Die größere Implikation ist für eine Branche, die sich auf Multisig-Governance als primäres Sicherheitsmodell stützt, unangenehm.
Doch wenn Angreifer bereit sind, sechs Monate und eine Million US-Dollar aufzuwenden, um eine legitime Präsenz innerhalb eines Ökosystems aufzubauen, Teams persönlich zu treffen, echtes Kapital beizusteuern und zu warten, stellt sich die Frage: Welches Sicherheitsmodell ist dafür entwickelt, genau das zu erkennen?
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Nordkorea weist Krypto-Diebstahl zurück, nachdem $577M im Jahr 2026 gestohlen wurde
Die Demokratische Volksrepublik Korea hat Vorwürfe zurückgewiesen, wonach es staatlich unterstütztes Kryptowährungs-Diebstahl gäbe, obwohl die Blockchain-Intelligence-Firma TRM Labs gemeldet hat, dass dprk-nahestehende Akteure in den ersten vier Monaten des Jahres 2026 rund 577 Millionen US-Dollar gestohlen haben. Ein Sprecher des Außenministeriums des Regimes
CryptoFrontier3Std her
Bitcoin dreht vom $80,594-Hoch auf $79,000 nach dem Iran-Missile-Report zurück; Öl springt um 5%
Laut der Nachrichtenagentur Fars aus dem Iran trafen heute zwei Raketen ein US-Kriegsschiff, was einen starken Rücksetzer bei Bitcoin auslöste: Von seinem Hoch bei 80.594 US-Dollar auf rund 79.000 US-Dollar. Laut dem Bericht stiegen die Ölpreise um 5%, bevor die USA die Behauptung zurückwiesen. Ethereum, Solana und Dogecoin fielen deutlich zusammen mit dem breiteren Markt
GateNews4Std her
US-Finanzminister Bessent: Die globale Öllieferung wird „sehr gut versorgt“ sein, während eine Lücke von 8 Mio.–10 Mio. Barrel pro Tag besteht
Laut US-Finanzminister Bessent am 4. Mai kontrollieren die Vereinigten Staaten die Straße von Hormus, und die globale Ölversorgung werde trotz der aktuellen Konflikte „sehr gut versorgt“ sein. Bessent erklärte, das globale Öldefizit, das durch den anhaltenden Konflikt verursacht werde, betrage ungefähr 8 Millionen bis 10 Millionen Barrel pro
GateNews7Std her
Geopolitische Verhandlungen und taubenhafte Daten-Erwartungen verweben sich: Strukturelle Beobachtungen des Krypto-Marktes in dieser Woche
Meldungen über positive Signale im Rahmen der iranisch-amerikanischen Gespräche, während die Kriegsvorbereitungen parallel voranschreiten, lassen eine mögliche Wende bei der Kontrolle über die Straße von Hormus erwarten; US-Arbeitsmarktdaten könnten die eher tauben Erwartungen weiter stärken, während BTC nach drei Monaten wieder über 80.000 US-Dollar notiert.
GateInstantTrends10Std her
Nobitex-Gründer stehen mit der Elite-Familie der iranischen politischen Führung in Verbindung, die an die obersten Führer gebunden ist, wie eine Reuters-Untersuchung enthüllt
Laut einer Reuters-Untersuchung, die am Freitag veröffentlicht wurde, wurde Nobitex, Irans dominierende Krypto-Börse mit rund 11 Millionen Nutzern, die etwa 70% der Krypto-Aktivität des Landes abwickelt, von den Brüdern Ali und Mohammad Kharrazi gegründet. Ihre Familie ist über Heiratsbeziehungen mit allen drei der iranischen obersten verbunden
GateNews10Std her
Bitcoin steigt über $80K , da die Strategie wöchentliche Käufe auslässt
Bitcoin erreichte über Nacht zum ersten Mal seit Ende Januar die Marke von 80.000 US-Dollar und setzt damit ein neues Meilenstein-Statement für die Erholung der führenden Kryptowährung, nachdem sie in den vergangenen Monaten an mehreren Punkten unter 65.000 US-Dollar gefallen war. Der Kursanstieg kommt daher, dass Strategy, der börsennotierte führende Inhaber von Bitcoin, eine seltene…
CryptoFrontier11Std her
