Raubüberfall im Wert von einer halben Milliarde Dollar als langwierige Kampagne von Spionen aus Pjöngjang entlarvt
Eine sechsmonatige Geheimdienstoperation ging der 270-Millionen-Dollar-Exploitung des Drift-Protokolls voraus und wurde von einer mit dem nordkoreanischen Staat verbundenen Gruppe durchgeführt, wie aus einer detaillierten Aktualisierung des Vorfalls hervorgeht, die das Team am Sonntag zuvor veröffentlicht hatte.
Die Angreifer nahmen erstmals etwa im Herbst 2025 auf einer großen Krypto-Konferenz Kontakt auf und präsentierten sich als quantitatives Handelsunternehmen, das eine Integration mit Drift anstrebte.
Sie waren technisch versiert, hatten einen nachweisbaren beruflichen Hintergrund und verstanden, wie das Protokoll funktionierte, sagte Drift. Eine Telegram-Gruppe wurde gegründet und es folgten monatelange substanzielle Gespräche über Handelsstrategien und Tresorintegrationen, Interaktionen, die Standard für die Art und Weise sind, wie Handelsfirmen DeFi-Protokolle integrieren.
Zwischen Dezember 2025 und Januar 2026 hat die Gruppe einen Ökosystem-Tresor auf Drift eingerichtet, mehrere Arbeitssitzungen mit Mitwirkenden abgehalten, über 1 Million US-Dollar ihres eigenen Kapitals eingezahlt und eine funktionierende operative Präsenz innerhalb des Ökosystems aufgebaut.
Drift-Mitwirkende trafen im Februar und März Einzelpersonen aus der Gruppe auf mehreren großen Branchenkonferenzen in mehreren Ländern persönlich. Als der Angriff am 1. April begann, war die Beziehung fast ein halbes Jahr alt.
Der Kompromiss scheint über zwei Wege zustande gekommen zu sein.
Ein zweiter lud eine TestFlight-Anwendung herunter, Apples Plattform zum Vertrieb von Vorabversionen von Apps, die die Sicherheitsüberprüfung im App Store umgeht, die die Gruppe als ihr Wallet-Produkt präsentierte.
Für den Repository-Vektor wies Drift auf eine bekannte Schwachstelle in VSCode und Cursor hin, zwei der am häufigsten verwendeten Code-Editoren in der Softwareentwicklung, die die Sicherheitsgemeinschaft seit Ende 2025 gemeldet hatte und bei der das einfache Öffnen einer Datei oder eines Ordners im Editor ausreichte, um beliebigen Code ohne Aufforderung oder Warnung jeglicher Art stillschweigend auszuführen.
Sobald die Geräte kompromittiert waren, hatten die Angreifer alles, was sie brauchten, um die beiden Multisig-Genehmigungen zu erhalten, die den dauerhaften Nonce-Angriff ermöglichten, den CoinDesk Anfang dieser Woche beschrieben hatte. Diese vorab unterzeichneten Transaktionen ruhten mehr als eine Woche lang, bevor sie am 1. April ausgeführt wurden und in weniger als einer Minute 270 Millionen US-Dollar aus den Tresoren des Protokolls abzogen.
Die Zuschreibung deutet auf UNC4736 hin, eine mit dem nordkoreanischen Staat verbundene Gruppe, die auch als AppleJeus oder Citrine Sleet verfolgt wird, basierend auf beiden On-Chain-Geldflüssen, die auf die Radiant Capital-Angreifer zurückgehen, und operativen Überschneidungen mit bekannten mit der DVRK verbundenen Personen.
Die Personen, die persönlich auf Konferenzen erschienen, waren jedoch keine nordkoreanischen Staatsangehörigen. Es ist bekannt, dass Bedrohungsakteure der DVRK auf dieser Ebene Drittvermittler mit vollständig konstruierten Identitäten, Beschäftigungshistorien und professionellen Netzwerken einsetzen, die so aufgebaut sind, dass sie der gebotenen Sorgfalt standhalten.
Drift forderte andere Protokolle dazu auf, die Zugriffskontrollen zu prüfen und jedes Gerät, das ein Multisig berührt, als potenzielles Ziel zu behandeln. Die umfassendere Implikation ist für eine Branche, deren primäres Sicherheitsmodell auf Multisig-Governance setzt, unangenehm.
Wenn Angreifer jedoch bereit sind, sechs Monate und eine Million Dollar für den Aufbau einer legitimen Präsenz innerhalb eines Ökosystems auszugeben, Teams persönlich zu treffen, echtes Kapital beizusteuern und zu warten, stellt sich die Frage, welches Sicherheitsmodell darauf ausgelegt ist, dies abzufangen.