Wie Nordkoreas sechsmonatiges geheimes Spionageprogramm die Krypto-Community dazu bringt, Sicherheit zu überdenken

Als Drift die Details hinter seinem 270-Millionen-Dollar-Exploit offenlegte, war das Beunruhigendste nicht das Ausmaß des Verlusts, sondern die Art und Weise, wie es dazu kam.

Nach Angaben des Teams hinter dem Protokoll handelte es sich bei dem Angriff weder um einen Smart-Contract-Bug noch um eine clevere Codemanipulation. Es handelte sich um eine sechsmonatige Kampagne mit gefälschten Identitäten, persönlichen Treffen in mehreren Ländern und sorgfältig aufgebautem Vertrauen. Die angeblich aus Nordkorea stammenden Angreifer fanden nicht nur eine Schwachstelle im System. Sie wurden Teil davon.

Diese neue Bedrohung zwingt nun zu einer umfassenderen Betrachtung des dezentralen Finanzwesens.

Seit Jahren betrachtet die Branche Sicherheit als technisches Problem, das mit Audits, formaler Verifizierung und besserem Code gelöst werden könnte. Der Drift-Vorfall lässt jedoch auf etwas weitaus Komplexeres schließen: dass die tatsächlichen Schwachstellen möglicherweise außerhalb der Codebasis liegen.

Alexander Urbelis, Chief Information Security Officer (CISO) bei ENS Labs, argumentiert, dass der Rahmen selbst bereits veraltet sei.

„Wir müssen aufhören, diese ‚Hacks‘ zu nennen, und anfangen, sie als das zu bezeichnen, was sie sind: Geheimdienstoperationen“, sagte Urbelis gegenüber CoinDesk. „Die Leute, die auf Konferenzen erschienen sind, die Drift-Mitarbeiter in mehreren Ländern persönlich getroffen haben, die eine Million Dollar ihres eigenen Geldes eingezahlt haben, um Glaubwürdigkeit aufzubauen: Das ist Handwerkskunst. So etwas würde man von einem Sachbearbeiter erwarten, nicht von einem Hacker.“

Wenn diese Charakterisierung zutrifft, dann stellt Drift ein neues Spielbuch dar: eines, bei dem sich Angreifer weniger wie opportunistische Hacker verhalten, sondern eher wie geduldige Betreiber, die sich sozial einbetten, bevor sie einen Schritt in der Kette unternehmen.

„Nordkorea sucht nicht mehr nach gefährdeten Verträgen. Sie suchen nach gefährdeten Personen … Das ist kein Hacking. Das ist das Einsetzen von Agenten“, fügte Urbelis hinzu.

Die Taktiken selbst sind nicht ganz neu.

Untersuchungen der letzten Jahre haben gezeigt, dass nordkoreanische Aktivisten Kryptofirmen infiltrieren, indem sie sich als Entwickler ausgeben, Vorstellungsgespräche bestehen und sich sogar Rollen unter gefälschten Identitäten sichern. Der Drift-Vorfall deutet jedoch darauf hin, dass diese Bemühungen eskaliert sind – von der Erlangung von Zugang über die Einstellung von Pipelines bis hin zur Durchführung monatelanger, persönlicher Beziehungenaufbauoperationen vor der Durchführung eines Angriffs.

„Die Achillesferse“

Dieser Wandel bereitet vielen Sicherheitsverantwortlichen am meisten Sorgen. Selbst das am strengsten geprüfte Protokoll kann scheitern, wenn ein Mitwirkender kompromittiert wird.

David Schwed, Chief Operating Officer von SVRN und ehemaliger CISO bei Robinhood und Galaxy, sieht den Drift-Fall als Weckruf.

„Protokolle müssen verstehen, womit sie es zu tun haben. Das sind keine einfachen Exploits. Es handelt sich um gut geplante, monatelange Operationen mit dedizierten Ressourcen, erfundenen Identitäten und einem absichtlichen menschlichen Element“, sagte Schwed gegenüber CoinDesk. „Dieser menschliche Faktor ist für viele Unternehmen die Achillesferse.“

Viele DeFi-Teams bleiben klein, schnelllebig und auf Vertrauen aufgebaut. Aber wenn eine Handvoll Personen den kritischen Zugriff kontrollieren, kann es ausreichen, einen einzigen zu kompromittieren.

Schwed argumentiert, dass die Antwort aktualisiert werden muss. „Die Antwort ist ein gut gestärktes Sicherheitsprogramm, das nicht nur die Technologie, sondern auch die Menschen und den Prozess schützt … Sicherheit muss für das Projekt und das Team von grundlegender Bedeutung sein.“

Einige Protokolle werden bereits angepasst. Bei Jupiter, einer der größten DeFi-Plattformen von Solana, bleibt die Basis für Audits und formelle Verifizierung bestehen, aber die Führungskräfte behaupten, dass sie nicht mehr ausreicht.

„Die Sicherung des Codes durch mehrere unabhängige Audits, Open Sourcing und formale Verifizierung ist eindeutig nur eine Frage des Tisches. Die Angriffsfläche hat sich erheblich erweitert“, sagte COO Kash Dhanda.

Diese breitere Oberfläche umfasst nun Governance, Mitwirkende und Betriebssicherheit. Jupiter hat den Einsatz von Multisigs und Timelocks ausgeweitet und gleichzeitig in Erkennungssysteme und interne Schulungen investiert.

„Angesichts der Tatsache, dass Fleisch anfälliger ist als Code, aktualisieren wir auch das Opsec-Training und die Überwachung für wichtige Teammitglieder“, sagte Dhanda.

Selbst dann, fügte er hinzu, „gibt es keinen Endzustand der Sicherheit“ und Selbstgefälligkeit bleibt das größte Risiko.

Für Protokolle wie dYdX verstärkt der Drift-Vorfall eine Realität, die nicht vollständig beseitigt werden kann.

„Es ist eine bedauerliche Tatsache, dass Krypto-Projekte zunehmend ins Visier staatlich geförderter bösartiger Akteure geraten … Entwickler müssen Vorkehrungen treffen, um die Auswirkungen von Social-Engineering-Kompromittierungen zu verhindern und abzumildern, aber Benutzer sollten sich auch darüber im Klaren sein, dass angesichts der zunehmenden Raffinesse böswilliger Akteure das Risiko solcher Kompromittierungen nicht vollständig ausgeschlossen werden kann“, sagte David Gogel, COO von dYdX Labs.

Dieses sich weiterentwickelnde Bedrohungsmodell verlagert auch die Verantwortung auf die Benutzer selbst.

„Benutzer, die in DeFi aktiv sind, sollten sich die Zeit nehmen, die technische Architektur von Protokollen oder Smart Contracts zu verstehen, die ihre Gelder halten, und bei ihrer Risikobewertung die Rolle und Art von Multisigs für Software-Upgrades sowie die Möglichkeit, dass diese böswillig kompromittiert werden könnten, berücksichtigen“, fügte Gogel hinzu.

„Bedrohungsmodell“

Für einige vier