Eine sechsmonatige Spionageoperation ging dem Exploit in Höhe von 270 Millionen US-Dollar gegen das Drift-Protokoll voraus und wurde laut einem detaillierten Lageupdate, das das Team früher am Sonntag veröffentlicht hat, von einer mit Nordkorea verbundenen staatlichen Gruppe durchgeführt.
Die Angreifer nahmen zuerst etwa im Herbst 2025 auf einem großen Krypto-Kongress Kontakt auf und stellten sich dabei als quantitatives Handelsunternehmen vor, das sich in Drift integrieren wolle.
Sie waren technisch versiert, verfügten über überprüfbare berufliche Hintergründe und verstanden, wie das Protokoll funktioniert, sagte Drift. Eine Telegram-Gruppe wurde eingerichtet und was folgte, waren Monate inhaltlicher Gespräche über Handelsstrategien und Vault-Integrationen – Interaktionen, die für das Onboarding von Handelsfirmen bei DeFi-Protokollen üblich sind.
Zwischen Dezember 2025 und Januar 2026 onboardete die Gruppe einen Ecosystem Vault in Drift, hielt mehrere Arbeitssitzungen mit Mitwirkenden ab, zahlte über 1 Million US-Dollar eigenes Kapital ein und baute eine funktionierende operative Präsenz innerhalb des Ökosystems auf.
Drift-Mitwirkende trafen die Personen aus der Gruppe im Februar und März bei mehreren großen Branchenkonferenzen in mehreren Ländern persönlich. Bis der Angriff am 1. April startete, bestand die Beziehung bereits seit fast einem halben Jahr.
Die Kompromittierung scheint über zwei Vektoren erfolgt zu sein.
Ein zweiter lud eine TestFlight-Anwendung herunter, Apples Plattform zur Verteilung von Vorab-Apps, die die Sicherheitsprüfung des App Store umgeht, die die Gruppe als ihr Wallet-Produkt darstellte.
Beim Repository-Vektor verwies Drift auf eine bekannte Schwachstelle in VSCode und Cursor, zwei der am weitesten verbreiteten Code-Editoren in der Softwareentwicklung, auf die die Sicherheits-Community seit Ende 2025 aufmerksam machte: Schon das bloße Öffnen einer Datei oder eines Ordners im Editor reichte aus, um still und ohne Aufforderung oder Warnung beliebigen Code auszuführen.
Sobald die Geräte kompromittiert waren, hatten die Angreifer, was sie brauchten, um die zwei Multisig-Freigaben zu erhalten, die den dauerhaften Nonce-Angriff ermöglichten, den CoinDesk bereits diese Woche im Detail beschrieben hat. Diese vorab signierten Transaktionen lagen mehr als eine Woche lang ungenutzt, bevor sie am 1. April ausgeführt wurden und in weniger als einer Minute 270 Millionen US-Dollar aus den Vaults des Protokolls abflossen.
Die Zuordnung deutet auf UNC4736 hin, eine ebenfalls mit dem nordkoreanischen Staat verbundene Gruppe, die auch als AppleJeus oder Citrine Sleet geführt wird. Grundlage sind sowohl On-Chain-Geldflüsse, die bis zu den Angreifern von Radiant Capital zurückverfolgt werden können, als auch die operative Überschneidung mit bekannten, mit DPRK verknüpften Persona.
Die Personen, die auf den Konferenzen persönlich anwesend waren, waren jedoch keine Staatsangehörigen Nordkoreas. Bedrohungsakteure aus DPRK-Dimensionen auf diesem Niveau sind dafür bekannt, Drittparteien als Vermittler einzusetzen, mit vollständig konstruierten Identitäten, Beschäftigungshistorien und professionellen Netzwerken, die darauf ausgelegt sind, Due-Diligence-Prüfungen standzuhalten.
Drift forderte andere Protokolle auf, Zugriffskontrollen zu auditieren und jedes Gerät, das einen Multisig berührt, als potenzielles Ziel zu behandeln. Die größere Konsequenz ist unbequem für eine Branche, die sich auf Multisig-Governance als primäres Sicherheitsmodell verlässt.
Doch wenn Angreifer bereit sind, sechs Monate und eine Million US-Dollar aufzuwenden, um sich eine legitime Präsenz innerhalb eines Ökosystems aufzubauen, Teams persönlich zu treffen, echtes Kapital beizusteuern und zu warten – stellt sich die Frage, welches Sicherheitsmodell dafür ausgelegt ist, das zu erkennen.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Nordkoreas Terrorurteil: Inhaber beschlagnahmt 71,00 Millionen US-Dollar Kelp DAO ETH: Arbitrum „gezielte Intervention“ wird zum rechtlichen Angriffspunkt
Das US-Bezirksgericht im Süden von New York erließ am 1. Mai eine Beschlagnahmeverfügung und untersagte vor der Teilungsanhörung die Verfügung über 30.766 ETH (rund 71 Millionen US-Dollar) für den DeFi United Entschädigungsplan. Die ETH stammt aus dem KelpDAO-Bridge-Hack über mehrere Ketten im April; nachdem sie vom Sicherheitskomitee von Arbitrum eingefroren worden war, wurde sie in die DAO-Governance aufgenommen; die Entschädigung wird durch Mittelbeschaffung u. a. über Aave finanziert. Die Kläger behaupten, dass der Hacker mit der nordkoreanischen Lazarus Group in Verbindung stehe, und das Gericht ordnete an, dass die Entscheidung bis zur Teilungsanhörung aussteht.
ChainNewsAbmedia1Std her
Die Zentralbank von Brasilien blockiert Krypto bei grenzüberschreitenden Zahlungen und setzt eine Frist bis zum 31. Mai 2027
Laut Banco Central do Brasil (BCB) hat die Zentralbank am 30. April die Resolution BCB Nr. 561 veröffentlicht und damit virtuelle Assets von der Abwicklung im regulierten eFX-Rahmenwerk des Landes für grenzüberschreitende digitale Zahlungen ausgeschlossen. Die Regel verpflichtet eFX-Anbieter, traditionelle Devisengeschäfte zu verwenden
GateNews4Std her
Die USA werden Schiffe durch die Straße von Hormus führen; die Marke von 80.000 US-Dollar für Bitcoin bleibt weiterhin ein wichtiger Beobachtungspunkt
Die Lage im Nahen Osten bleibt angespannt. Die USA sagen, sie würden Schiffe, die nicht in die Auseinandersetzungen verwickelt sind, durch die Straße von Hormus führen, und die Verhandlungen mit dem Iran werden als „sehr proaktiv“ beschrieben. OPEC+ erhöht die Förderung um 188.000 Barrel pro Tag, ohne UAE; der Ölmarkt schwankt aufgrund diplomatischer Entwicklungen und Veränderungen bei der Versorgung. Der Bitcoin nähert sich 80.000, bleibt aber aufgrund der Optionsstruktur schwer durchbruchsfähig; ETH steigt gleichzeitig. Die Nachfrage nach KI-Chips ist stark. Palantir und AMD rücken mit ihren Quartalsberichten in den Fokus; der Markt beobachtet das Wachstum der KI-Investitionen und die Aussichten der Tech-Aktien.
ChainNewsAbmedia6Std her
Nobitex von Söhnen einer iranischen Elite-Familie gegründet, die mit den Obersten Führern verbunden ist – Reuters findet Hinweise
Laut einer Reuters-Untersuchung, die am Freitag veröffentlicht wurde, wurde Nobitex, Irans führende Krypto-Börse, von den Brüdern Ali und Mohammad Kharrazi gegründet. Beide gehören zu einer einflussreichen politischen Familie, die über Heiratsverbindungen mit allen drei Oberhäuptern Irans verbunden ist. Die Brüder registrierten das Unternehmen im Jahr 2018 gemeinsam mit dem CEO
GateNews6Std her
Dennis Porter: Die USA sehen Bitcoin als Werkzeug der nationalen Sicherheit
Dennis Porter, Gründer von Satoshi Action, erklärte, dass die US-Regierung und das Militär ihre Sichtweise auf Bitcoin von einer rein finanziellen Investition hin zu einer entscheidenden Komponente der nationalen Verteidigung verlagern. Laut Porter wird Bitcoin zunehmend als „nationale Sicherheits-
CryptoFrontier9Std her
Bitcoin durchbricht am späten Sonntag die Marke von 80.000 US-Dollar und legt in 24 Stunden um 2,6% zu
Laut The Block stieg Bitcoin am späten Sonntag (4. Mai) über 80.000 US-Dollar und legte in den vergangenen 24 Stunden um 2,6% zu auf 80.150 US-Dollar, Stand 23:40 Uhr ET. Ether kletterte um 3,6% auf 2.382 US-Dollar, während XRP 2% auf 1,41 US-Dollar zulegte. Nick Ruck, Direktor von LVRG Research, merkte an, dass „der Anstieg von Bitcoin über 80.000 eine Widerst…“
GateNews9Std her
