Wie nordkoreanische Agenten nach Monaten der Patienteninfiltrierung einen Krypto-Raub im Wert von 270 Millionen US-Dollar organisierten

Inhaltsverzeichnis Am 1. April erlitt Drift Protocol einen katastrophalen Sicherheitsverstoß im Wert von 270 Millionen US-Dollar, nachdem eine ausgedehnte Infiltrationskampagne, die von einem staatlich unterstützten nordkoreanischen Hackerkollektiv inszeniert wurde, etwa ein halbes Jahr dauerte. 🚨NORDKOREA HAT GERADE DEN SCHRECKLICHSTEN HACK IN DER GESCHICHTE DER KRYPTO-GESCHICHTE DURCHGEFÜHRT. UND SIE HABEN 6 MONATE GEDULD GEBRAUCHT pic.twitter.com/z8awPLGQ7l – Evan Luthra (@EvanLuthra) 5. April 2026 Die raffinierte Operation begann auf einer prominenten Kryptowährungskonferenz im Herbst 2025. Die Täter gaben sich erfolgreich als Vertreter eines quantitativen Handelsunternehmens aus und kamen mit umfassendem technischem Wissen, authentifizierten beruflichen Qualifikationen und detaillierter Vertrautheit mit der Infrastruktur und den Abläufen von Drift an. Die erste Kommunikation erfolgte über einen Telegram-Kanal und löste einen monatelangen anhaltenden Dialog aus. Die Diskussionen konzentrierten sich auf Themen, die für institutionelle Handelspartnerschaften typisch sind: Tresor-Integrationsprotokolle, strategische Handelsmethoden und operative Rahmenbedingungen. Im Zeitraum Dezember 2025 bis Januar 2026 richtete das betrügerische Unternehmen offiziell einen Ökosystem-Tresor innerhalb des Drift-Ökosystems ein. Sie führten zahlreiche gemeinsame Arbeitssitzungen mit Plattform-Mitwirkenden durch und setzten über 1 Million US-Dollar an tatsächlichem Kapital ein – ein kalkulierter Schritt, der darauf abzielte, Authentizität herzustellen. Im Februar und März 2026 führten die Mitarbeiter von Drift an verschiedenen internationalen Konferenzorten in mehreren Ländern direkte, persönliche Treffen mit Vertretern der Gruppe durch. Zum Zeitpunkt des Anschlags am 1. April war die Beziehung bereits über fast ein halbes Jahr gereift. Der Verstoß erfolgte durch eine Dual-Vektor-Angriffsstrategie. Zunächst installierte ein Teammitglied eine TestFlight-Anwendung – Apples Beta-Verteilungssystem, das die standardmäßigen Sicherheitsüberprüfungsprozesse im App Store umgeht – die die Angreifer als ihre proprietäre Wallet-Lösung vermarktet hatten. Darüber hinaus haben die Bedrohungsakteure eine öffentlich dokumentierte Schwachstelle in VSCode und Cursor, zwei weit verbreiteten integrierten Entwicklungsumgebungen, als Waffe genutzt. Der Exploit erforderte nichts weiter als das Öffnen einer kompromittierten Datei in einem der beiden Editoren, um unbemerkt schädlichen Payload-Code auszuführen, ohne Benutzerbenachrichtigungen oder Sicherheitswarnungen auszulösen. Nach erfolgreicher Gerätekompromittierung extrahierten die Angreifer methodisch die erforderlichen Anmeldeinformationen, um zwei Multisignatur-Wallet-Genehmigungen sicherzustellen. Diese vorab genehmigten Transaktionen blieben über eine Woche lang inaktiv, bevor sie am 1. April ausgeführt wurden, was zu einem Abzug von 270 Millionen US-Dollar innerhalb von 60 Sekunden führte. Cybersicherheitsanalysten haben den Vorfall mit UNC4736 in Verbindung gebracht, einer Bedrohungsgruppe, die auch als AppleJeus oder Citrine Sleet bezeichnet wird. Blockchain-Forensik deckte Transaktionsmuster auf, die mit dem Radiant Capital-Kompromiss vom Oktober 2024 in Zusammenhang stehen, den die Ermittler ebenfalls nordkoreanischen Akteuren zuschrieben. Bemerkenswert ist, dass Personen, die physisch auf Konferenzen erschienen, keine nordkoreanischen Staatsbürger waren – mit der DVRK verbundene Gruppen beschäftigen typischerweise Stellvertreter Dritter mit aufwändig fabrizierten Identitäten. Ariel Givner, Experte für Kryptowährungsrecht, hat darauf hingewiesen, dass es sich bei dem Vorfall möglicherweise um strafbare zivilrechtliche Fahrlässigkeit handelt. Sie betonte, dass grundlegende Sicherheitsprotokolle – einschließlich der Verwaltung von Signaturschlüsseln auf isolierten Systemen mit Luftspalt und der Durchführung einer gründlichen Hintergrundüberprüfung von Entwicklern, denen man bei Branchenveranstaltungen begegnet – offenbar unzureichend implementiert wurden. „Jedes glaubwürdige Projekt versteht diese Anforderungen. Drift hat sie nicht umgesetzt“, erklärte Givner. Marketingmaterialien für Sammelklagen gegen Drift sind bereits im Umlauf. Das Sicherheitsteam von Drift hat „mittlere bis hohe Zuversicht“ zum Ausdruck gebracht, dass identische Bedrohungsakteure den Radiant Capital-Angriff im Oktober 2024 ausgeführt haben, bei dem Schadsoftware per Telegram von einer Person verbreitet wurde, die sich als ehemaliger Auftragnehmer ausgab.