Raubüberfall im Wert von mehreren Millionen Dollar aufgedeckt: Drift-Protokoll-Hack enthüllt kalkulierten Plan, der sich über mehrere Monate erstreckt
Drift Protocol, eine dezentrale Kryptowährungsbörse (DEX), sagt, dass es sich bei dem jüngsten Exploit gegen die Plattform um einen sechs Monate dauernden, hochkoordinierten Angriff handelte.
„Die vorläufige Untersuchung zeigt, dass Drift eine strukturierte Geheimdienstoperation erlebte, die organisatorische Unterstützung, erhebliche Ressourcen und Monate gezielter Vorbereitung erforderte“, sagte Drift am Samstag in einem X-Beitrag.
Die dezentrale Börse wurde am Mittwoch ausgenutzt, externe Schätzungen gehen von Verlusten in Höhe von rund 280 Millionen US-Dollar aus.
Alles begann auf einer „großen Krypto-Konferenz“
Laut Drift lässt sich der Angriffsplan bis etwa Oktober 2025 zurückverfolgen, als böswillige Akteure, die sich als quantitatives Handelsunternehmen ausgaben, erstmals auf einer „großen Kryptokonferenz“ an Drift-Mitwirkende herantraten und behaupteten, an einer Integration in das Protokoll interessiert zu sein.
Quelle: Drift-Protokoll
In den folgenden sechs Monaten engagierte die Gruppe ihre Mitwirkenden weiterhin persönlich bei mehreren Branchenveranstaltungen. „Mittlerweile geht man davon aus, dass es sich offenbar um einen gezielten Ansatz handelt, bei dem Einzelpersonen aus dieser Gruppe weiterhin gezielt bestimmte Drift-Mitwirkende ausfindig machen und engagieren“, sagte Drift.
„Sie waren technisch versiert, hatten einen nachweisbaren beruflichen Hintergrund und waren mit der Arbeitsweise von Drift vertraut“, sagte Drift.
Nachdem sie sechs Monate lang Vertrauen und Zugriff auf das Drift-Protokoll gewonnen hatten, nutzten sie gemeinsam genutzte bösartige Links und Tools, um die Geräte der Mitwirkenden zu kompromittieren, den Exploit auszuführen und löschten dann unmittelbar nach dem Angriff ihre Präsenz.
Der Vorfall erinnert die Teilnehmer der Kryptobranche daran, auch bei persönlichen Interaktionen vorsichtig und skeptisch zu bleiben, da Kryptokonferenzen ein Hauptziel für erfahrene Bedrohungsakteure sein können.
Drift weist auf eine hohe Wahrscheinlichkeit eines Radiant Capital-Hack-Links hin
Drift sagte mit „mittlerer bis hoher Sicherheit“, dass der Exploit von denselben Akteuren durchgeführt wurde, die hinter dem Radiant Capital-Hack vom Oktober 2024 steckten.
Im Dezember 2024 sagte Radiant Capital, dass der Exploit durch Malware durchgeführt wurde, die per Telegram von einem mit Nordkorea verbündeten Hacker gesendet wurde, der sich als ehemaliger Auftragnehmer ausgab.
Quelle: Dith
„Als diese ZIP-Datei zur Rückmeldung an andere Entwickler weitergegeben wurde, lieferte sie letztendlich Malware, die das anschließende Eindringen erleichterte“, sagte Radiant Capital.
Drift sagte, es sei „wichtig zu beachten“, dass die Personen, die persönlich erschienen, „keine nordkoreanischen Staatsangehörigen waren“.
Verwandt: Naoris führt Post-Quantum-Blockchain ein, da Quantensicherheitsrisiken an Aufmerksamkeit gewinnen
„Es ist bekannt, dass Bedrohungsakteure der DVRK, die auf dieser Ebene agieren, Drittvermittler einsetzen, um persönliche Beziehungen aufzubauen“, sagte Drift.
Drift sagte, dass es mit Strafverfolgungsbehörden und anderen in der Kryptoindustrie zusammenarbeite, um „ein vollständiges Bild davon zu erstellen, was während des Angriffs vom 1. April passiert ist“.
Magazin: Bitcoin stürzt um 85 % ab, „fertig“, Spekulationen über den CLARITY Act nehmen zu: Hodler’s Digest, 29. März – 4. April