Cryptonews

Drift-Protokoll-Hack: Wie eine nordkoreanische Gruppe sechs Monate damit verbrachte, ein DeFi-Protokoll zu infiltrieren

Quelle
cryptonewstrend.com
Veröffentlicht
Drift-Protokoll-Hack: Wie eine nordkoreanische Gruppe sechs Monate damit verbrachte, ein DeFi-Protokoll zu infiltrieren

Inhaltsverzeichnis Das Drift-Protokoll erlitt am 1. April 2026 einen schwerwiegenden Exploit, der einen vollständigen Protokollstopp auslöste. Der Vorfall wurde inzwischen als strukturierte, monatelange Geheimdienstoperation entlarvt. Forensische Partner, darunter Mandiant, unterstützen die Strafverfolgungsbehörden bei der Untersuchung des Verstoßes. Vorläufige Erkenntnisse deuten darauf hin, dass eine mit dem nordkoreanischen Staat verbundene Bedrohungsgruppe der wahrscheinliche Täter ist. Dies stellt eine der bewusstesten Social-Engineering-Kampagnen dar, die bisher im dezentralen Finanzwesen dokumentiert wurden. Der Angriff auf das Drift-Protokoll begann nicht an dem Tag, an dem er stattfand. Es geht auf den Herbst 2025 zurück, als auf einer großen Krypto-Konferenz Mitwirkende angesprochen wurden. Die Gruppe präsentierte sich als quantitatives Handelsunternehmen, das eine Protokollintegration anstrebt. Sie waren technisch versiert und verfügten über einen nachweisbaren beruflichen Hintergrund. In den folgenden Monaten trafen sich Einzelpersonen dieser Gruppe weiterhin persönlich mit Drift-Mitwirkenden. Diese Begegnungen fanden auf mehreren Branchenkonferenzen in mehreren Ländern statt. Gleich beim ersten Treffen wurde eine Telegram-Gruppe gegründet. Es folgten monatelange ausführliche Gespräche über Handelsstrategien und Tresorintegrationen. Von Dezember 2025 bis Januar 2026 hat die Gruppe einen Ecosystem Vault in das Protokoll integriert. Sie haben über 1 Million US-Dollar ihres eigenen Kapitals eingezahlt und an mehreren Arbeitssitzungen teilgenommen. Im Februar und März 2026 hieß es im Protokoll: „Es handelte sich hierbei nicht um Fremde; es handelte sich um Menschen, mit denen Drift-Mitwirkende zusammengearbeitet und die sie persönlich kennengelernt hatten.“ Links zu Projekten, Tools und Anwendungen wurden in diesem Zeitraum regelmäßig geteilt. Die Untersuchung ergab später, dass „die bei dieser Operation verwendeten Profile vollständig konstruierte Identitäten aufwiesen, einschließlich Beschäftigungshistorien, öffentlich zugänglichen Referenzen und beruflichen Netzwerken“. Die Mitwirkenden haben sich in ausführlichen Produktdiskussionen mit ihnen beschäftigt. Dadurch wurde im Laufe der Zeit eine glaubwürdige operative Präsenz innerhalb des Drift-Ökosystems aufgebaut. Nach dem Exploit vom 1. April wurde bei einer forensischen Überprüfung der betroffenen Geräte und Kommunikation die Handelsgruppe als wahrscheinlicher Einbruchsvektor identifiziert. Ihre Telegram-Chats und Schadsoftware wurden direkt nach dem Angriff vollständig gelöscht. Aus der laufenden Untersuchung haben sich inzwischen drei potenzielle Angriffsvektoren ergeben. Ein Mitwirkender hat möglicherweise ein von der Gruppe freigegebenes Code-Repository geklont. Es wurde als Frontend-Bereitstellung für ihren Tresor präsentiert. Ein anderer Mitwirkender wurde dazu veranlasst, eine TestFlight-Anwendung herunterzuladen, die als Wallet-Produkt der Gruppe ausgegeben wurde. In Bezug auf den Repository-basierten Vektor „reichte das einfache Öffnen einer Datei, eines Ordners oder eines Repositorys im Editor aus, um beliebigen Code stillschweigend auszuführen, ohne Aufforderung oder Hinweis für den Benutzer, ohne Klicks, Berechtigungsdialog oder Warnung jeglicher Art.“ Die vollständige forensische Analyse der betroffenen Hardware ist noch im Gange. Drift hat seitdem das breitere Ökosystem aufgefordert, „Ihre Teams zu überprüfen, zu prüfen, wer Zugriff auf was hat, und jedes Gerät, das Ihr Multisig berührt, als potenzielles Ziel zu behandeln.“ Mit mittlerer bis hoher Sicherheit bewertete das SEALS 911-Team dies als das Werk von UNC4736. Bei dieser Gruppe handelt es sich um einen mit dem nordkoreanischen Staat verbundenen Schauspieler, der als AppleJeus oder Citrine Sleet verfolgt wird. On-Chain-Fondsströme und sich überschneidende Personas verbinden diese Kampagne mit dem Radiant Capital-Hack vom Oktober 2024. Bei den Personen, die persönlich erschienen, handelte es sich nicht um nordkoreanische Staatsangehörige, da Bedrohungsakteure der Demokratischen Volksrepublik Korea dafür bekannt sind, Drittvermittler für den direkten Kontakt zu nutzen.