Nordkoreanische Gruppe beschuldigte Hackergruppe, dass der 285 Millionen Dollar schwere Angriff auf Drift Protocol sechs Monate in der Vorbereitung gewesen sei.

Der 1. April 2026 ausbeuten of SolanaDer auf dem Drift-Protokoll basierende Angriff, der der Plattform etwa 285 Millionen Dollar entzog, war kein spontaner Angriff. Laut Drifts vorläufigen Erkenntnissen UntersuchungEs handelte sich um das Ergebnis einer strukturierten Geheimdienstoperation, die mindestens sechs Monate zuvor begonnen hatte und mit mittlerer bis hoher Wahrscheinlichkeit der UNC4736 zugeschrieben wird, einer nordkoreanischen, staatsnahen Bedrohungsgruppe, die auch unter den Namen AppleJeus oder Citrine Sleet bekannt ist.

Wie kam es eigentlich zum Hack des Drift-Protokolls?

Laut dem Drift Protocol-Team begann die Operation auf einer großen Kryptokonferenz im Herbst 2025, wo sich Personen, die sich als Vertreter eines quantitativen Handelsunternehmens ausgaben, an Drift-Autoren wandten. Was folgte, war kein kurzer Phishing-Versuch. Es handelte sich um eine gezielte, monatelange Kampagne zum Beziehungsaufbau, die in zahlreichen persönlichen Treffen auf verschiedenen Branchenkonferenzen in mehreren Ländern durchgeführt wurde.

Die Gruppe verfügte über fundierte technische Kenntnisse, nachweisbare Berufserfahrung und war mit der Funktionsweise von Drift bestens vertraut. Nach dem ersten Treffen wurde eine Telegram-Gruppe eingerichtet, in der über Monate hinweg intensive Diskussionen über Handelsstrategien und die Integration von Vaults stattfanden. Das Drift-Team stellte fest, dass diese Interaktionen vollkommen dem üblichen Vorgehen seriöser Handelsfirmen im Umgang mit dem Protokoll entsprachen.

Von Dezember 2025 bis Januar 2026 integrierte die Gruppe einen Ecosystem Vault in das Drift-Protokoll. Dieser Prozess umfasste die Einreichung von Strategiedetails über ein formelles Antragsformular, die Teilnahme an mehreren Arbeitssitzungen mit Drift-Mitwirkenden und die Einzahlung von über einer Million US-Dollar Eigenkapital. Sie bauten so gezielt und geduldig eine funktionierende operative Präsenz innerhalb des Protokolls auf.

Die letzten Monate vor der Eroberung

Die Integrationsgespräche wurden im Februar und März 2026 fortgesetzt. Mitarbeiter von Drift trafen sich erneut persönlich mit Mitgliedern der Gruppe auf wichtigen Branchenveranstaltungen. Bis April bestand die Zusammenarbeit bereits seit fast sechs Monaten. Es handelte sich nicht um Fremde, sondern um Personen, mit denen das Drift-Team bereits mehrfach zusammengearbeitet und die es persönlich getroffen hatte.

Während dieser Zeit teilte die Gruppe Links zu Projekten, Tools und Anwendungen, die sie nach eigenen Angaben entwickelten. Das Teilen solcher Ressourcen ist gängige Praxis in Geschäftsbeziehungen im Handel, und genau das machte es zu einem effektiven Kommunikationsmechanismus.

Welche technischen Angriffsvektoren gab es?

Nach dem Angriff am 1. April führte Drift eine forensische Untersuchung der betroffenen Geräte, Konten und Kommunikationsverläufe durch. Die Telegram-Chats und die von der Gruppe verwendete Schadsoftware waren unmittelbar nach dem Angriff vollständig gelöscht worden. Drifts Untersuchung identifizierte drei wahrscheinliche Angriffsvektoren:

• Möglicherweise wurde ein Mitwirkender kompromittiert, nachdem er ein von der Gruppe geteiltes Code-Repository geklont hatte, das als Frontend-Bereitstellungstool für ihren Tresor präsentiert wurde.
• Ein zweiter Mitwirkender wurde dazu gebracht, eine TestFlight-Anwendung herunterzuladen, die die Gruppe als ihr Wallet-Produkt bezeichnete. TestFlight ist Apples Plattform für die Verteilung von Betaversionen von iOS-Apps vor deren öffentlicher Veröffentlichung.
• Bei dem Repository-basierten Angriffsvektor handelte es sich wahrscheinlich um eine bekannte Schwachstelle in den Code-Editoren VSCode und Cursor, auf die Sicherheitsforscher zwischen Dezember 2025 und Februar 2026 aktiv hingewiesen hatten. Das Öffnen einer Datei, eines Ordners oder eines Repositorys im betroffenen Editor reichte aus, um unbemerkt beliebigen Code auszuführen, ohne dass der Benutzer eine Aufforderung, eine Warnung, einen Berechtigungsdialog oder irgendeinen sichtbaren Hinweis erhielt.

Die vollständige forensische Analyse der betroffenen Hardware war zum Zeitpunkt der Veröffentlichung noch im Gange.

Wie schnell wurde der Angriff ausgeführt?

Die Vorbereitungen dauerten zwar sechs Monate, die Ausführung erfolgte jedoch blitzschnell. Nachdem die Administratoren die Kontrolle über das Protokoll übernommen hatten, wurden die Gelder der Nutzer innerhalb von weniger als zwölf Minuten abgezogen. Der Gesamtwert der gesperrten Vermögenswerte (TVL) von Drift sank in weniger als einer Stunde von rund 550 Millionen US-Dollar auf unter 300 Millionen US-Dollar. Der DRIFT-Token verlor während des Vorfalls mehr als 40 % an Wert. Das Sicherheitsunternehmen PeckShield bestätigte, dass der Gesamtverlust 285 Millionen US-Dollar überstieg und damit mehr als 50 % des damaligen TVL des Protokolls ausmachte.

Das Team von Drift meldete sich inmitten des Chaos auf X, um klarzustellen, dass die Situation ernst war: „Dies ist kein Aprilscherz. Seien Sie bis auf Weiteres vorsichtig.“ Alle Ein- und Auszahlungen wurden mit Beginn der Untersuchung ausgesetzt.

Entdecken Sie vielversprechende Projekte...

Vielversprechende Projekte...

(Werbung)

Artikel wird fortgesetzt...

Wo sind die 285 Millionen Dollar geblieben?

Nach dem Angriff verschleierte der Angreifer umgehend die Geldflüsse. Die gestohlenen Vermögenswerte wurden in USDC und SOL umgewandelt und anschließend mithilfe des Cross-Chain Transfer Protocol (CCTP) von Circle von Solana zu Ethereum transferiert. CCTP ist die von Circle entwickelte Infrastruktur, die es ermöglicht, USDC ohne zusätzliche Transaktionen zwischen verschiedenen Blockchains zu transferieren. Auf Ethereum wurden die Gelder in ETH umgewandelt. Die On-Chain-Überwachung bestätigte, dass der Angreifer letztendlich 129,066 ETH erbeutet hatte, was damals einem Wert von etwa 273 Millionen US-Dollar entsprach.

Der Angreifer hinterlegte außerdem SOL sowohl bei HyperLiquid als auch bei Binance und verteilte seine Aktivitäten so auf mehrere Plattformen, um die Rückverfolgung zu erschweren.

Hat Circle schnell genug reagiert?

Der On-Chain-Ermittler ZachXBT kritisierte Circle nach dem Exploit öffentlich und wies darauf hin, dass große Mengen gestohlener USDC während der US-Geschäftszeiten ungehindert von Solana auf Ethereum transferiert wurden. ZachXBT stellte dies Circles kürzlich getroffener Entscheidung gegenüber, in einem versiegelten US-Zivilverfahren 16 unabhängige Firmen-Hot-Wallets einzufrieren. Er argumentierte, Circle habe sowohl die technischen Möglichkeiten als auch einen klaren Präzedenzfall für ein Eingreifen gehabt, aber nicht schnell genug gehandelt, um den Schaden zu begrenzen.

Wer steckt hinter dem Anschlag?

Mit mittlerer bis hoher Wahrscheinlichkeit und gestützt auf die Untersuchungen des SEALS 911-Teams ordnet die Untersuchung von Drift die Operation denselben Bedrohungsakteuren zu, die auch für den Radiant Capital-Hack im Oktober 2024 verantwortlich waren. Dieser Angriff wurde von Mandiant offiziell der UNC4736, einer nordkoreanischen, staatsnahen Gruppe, zugeschrieben.

Die Grundlage für diese Verbindung liegt sowohl in der Blockchain als auch im operativen Bereich. Die für die Vorbereitung und das Testen der Drift-Operation verwendeten Geldflüsse lassen sich auf Wallets zurückführen, die mit den Radiant-Angreifern in Verbindung stehen. Darüber hinaus weisen die im Rahmen der Drift-Kampagne eingesetzten Personas erkennbare Überschneidungen mit bekannten, mit Nordkorea in Verbindung stehenden Aktivitätsmustern auf.

Eine wichtige Klarstellung des Drift-Teams: Die Personen, die persönlich an den Konferenzen teilnahmen, waren keine nordkoreanischen Staatsangehörigen. Auf dieser Operationsebene ist bekannt, dass mit der DVRK verbundene Akteure Mittelsmänner einsetzen, um persönliche Kontakte zu knüpfen und die eigentlichen Agenten auf Distanz zu halten.

Mandiant wurde offiziell mit den Ermittlungen beauftragt, hat aber noch keine offizielle Zuordnung der Drift-Schwachstelle vorgenommen. Diese Feststellung erfordert die vollständige forensische Analyse der Geräte, die noch andauert.

Aktuelle Reaktionsmaßnahmen

Zum Zeitpunkt der Veröffentlichung hat Drift folgende Schritte unternommen:

• Alle übrigen Protokollfunktionen wurden eingefroren.
• Kompromittierte Wallets wurden aus dem Multisignatur-Netzwerk entfernt.
• Angreifer-Wallets wurden bei Börsen und Bridge-Betreibern identifiziert.
• Mandiant wurde als primärer forensischer Partner beauftragt.

Drift gab an, diese Details öffentlich zu teilen, damit andere Teams im Ökosystem verstehen können, wie diese Art von Angriff tatsächlich aussieht und entsprechende Schutzmaßnahmen ergreifen können.

Fazit

Der Hack des Drift-Protokolls ist keine Geschichte über eine unentdeckte Sicherheitslücke im Code. Es ist eine Geschichte über systematische Täuschung. Die Angreifer bauten sechs Monate lang Glaubwürdigkeit auf – durch persönliche Treffen, eine funktionierende Integration in das Tresorsystem und über eine Million Dollar ihres eigenen Kapitals –, bevor sie innerhalb von nur zwölf Minuten 285 Millionen Dollar erbeuteten.

 Die technischen Angriffsvektoren, ein Repository mit bösartigem Code und eine gefälschte TestFlight-App, waren gerade deshalb wirksam, weil das Vertrauen, das zum Öffnen dieser Vektoren erforderlich war, bereits sorgfältig aufgebaut worden war. 

Für DeFi-Protokolle ist die Lehre eindeutig: Die Angriffsfläche beschränkt sich nicht auf Smart Contracts. Sie umfasst jedes Gerät eines Mitwirkenden, jedes Repository eines Drittanbieters und jede Beziehung, die auf einer Branchenkonferenz geknüpft wurde. UNC4736 hat dies nun bereits zweimal demonstriert, zuerst bei Radiant Capital im Oktober 2024 und erneut bei Drift im April 2026, jeweils mit demselben geduldigen und ressourcengestützten Ansatz.

Ressourcen

1. Driftprotokoll auf XBeitrag vom 5. März

2. PeckShield auf XBeiträge (1.-2. April)

3. Lookonchain auf XBeiträge (1.-2. April)