Nordkoreanische IT-Mitarbeiter arbeiteten jahrelang mit DeFi-Protokollen, warnt ein Forscher
Mit Nordkorea verbundene Betreiber haben sich jahrelang still und heimlich in Kryptofirmen und DeFi-Teams integriert, was nach einer Reihe hochwertiger Exploits im Zusammenhang mit dem Cyberapparat des Landes neue Bedenken hinsichtlich des Insiderrisikos aufkommen ließ.
Der Sicherheitsforscher und MetaMask-Entwickler Taylor Monahan sagte, dass diese Taktiken bis in die Anfänge der dezentralen Finanzierung zurückreichen, als Personen mit Verbindungen zur Demokratischen Volksrepublik Korea zu mehreren weit verbreiteten Protokollen beitrugen.
„Viele IT-Mitarbeiter der DVRK haben bereits im DeFi-Sommer die Protokolle entwickelt, die Sie kennen und lieben“, sagte sie am Sonntag und fügte hinzu, dass sich mehr als 40 Plattformen, darunter mehrere bekannte Projekte, irgendwann auf solche Entwickler verlassen hätten.
Sie stellte jedoch fest, dass die in ihren Lebensläufen aufgeführten „sieben Jahre Erfahrung in der Blockchain-Entwicklung“ „keine Lüge“ seien.
Laut R3ACH-Analysten bringen Ermittler die Cyberoperationen Nordkoreas seit langem mit der Lazarus Group in Verbindung, einem staatlich unterstützten Kollektiv, von dem angenommen wird, dass es seit 2017 digitale Vermögenswerte im Wert von rund 7 Milliarden US-Dollar gestohlen hat.
Die Gruppe wurde mit einigen der größten Verstöße der Branche in Verbindung gebracht, darunter dem Ronin Bridge-Exploit im Wert von 625 Millionen US-Dollar im Jahr 2022, dem WazirX-Hack im Wert von 235 Millionen US-Dollar im Jahr 2024 und dem Bybit-Vorfall im Wert von 1,4 Milliarden US-Dollar im Jahr 2025.
Nordkoreanische Akteure hinter Drift-Exploit
Der 280-Millionen-Dollar-Exploit des Drift-Protokolls in der vergangenen Woche hat erneute Aufmerksamkeit erregt. Das Projekt sagte, es habe „mittleres bis hohes Vertrauen“, dass eine mit dem nordkoreanischen Staat verbundene Gruppe hinter dem Angriff steckte, und brachte den Vorfall mit einem umfassenderen Muster der Infiltration und Social Engineering in Verbindung.
Die persönlichen Treffen, die zu dem Verstoß führten, fanden jedoch nicht mit nordkoreanischen Staatsangehörigen statt, sondern mit „Drittvermittlern“, die „vollständig konstruierte Identitäten nutzten, einschließlich Beschäftigungshistorien, öffentlich zugänglicher Referenzen und beruflicher Netzwerke“.
Zu diesen Profilen gehörten Beschäftigungshistorien, öffentliche Referenzen und aktive berufliche Netzwerke, die es ihnen ermöglichten, durch persönliche Interaktionen Vertrauen aufzubauen, bevor sich der Exploit entfaltete.
Der unabhängige Blockchain-Ermittler ZachXBT hat in einem aktuellen X-Beitrag gewarnt, dass nicht alle Bedrohungen im Zusammenhang mit Nordkorea auf dem gleichen Niveau an Komplexität funktionieren.
„Das Hauptproblem besteht darin, dass jeder sie alle zusammenfasst, wenn die Komplexität der Bedrohungen unterschiedlich ist“, sagte er.
Er beschrieb viele Infiltrationsversuche als relativ einfach, da sie eher auf Beharrlichkeit als auf technischer Komplexität setzten. Die Kontaktaufnahme über Stellenausschreibungen, LinkedIn, E-Mail, Zoom-Anrufe und Vorstellungsgespräche ist nach wie vor üblich.
„Grundlegend und in keiner Weise anspruchsvoll […] das Einzige daran ist, dass sie unerbittlich sind“, sagte er und fügte hinzu, dass Teams, die auch im Jahr 2026 weiterhin auf solche Taktiken hereinfallen, Gefahr laufen, als fahrlässig angesehen zu werden.