Die auf Solana basierende dezentrale Börse Drift Protocol erklärte am Sonntag, der Angriff, der der Plattform rund 285 Millionen Dollar entzog, sei eine strukturierte, sechsmonatige Geheimdienstoperation einer nordkoreanischen staatlich unterstützten Bedrohungsgruppe gewesen.
Die Angreifer nutzten fingierte berufliche Identitäten, persönliche Konferenztreffen und bösartige Entwickler-Tools, um Mitarbeiter zu kompromittieren, bevor sie den Abzug ausführten, so das Protokoll in einem detaillierten Vorfall-Update.
https://t.co/qYBMCup9i6
— Drift (@DriftProtocol) April 5, 2026
"Krypto-Teams stehen jetzt Gegnern gegenüber, die eher wie Geheimdiensteinheiten als wie Hacker agieren, und die meisten Organisationen sind strukturell nicht auf dieses Bedrohungsniveau vorbereitet", sagte Michael Pearl, VP of Strategy bei der Blockchain-Sicherheitsfirma Cyvers, gegenüber Decrypt.
Drift gab an, die Gruppe habe sich im vergangenen Herbst auf einer großen Krypto-Konferenz an Mitarbeiter gewandt und sich als quantitatives Handelsunternehmen ausgegeben, das eine Integration mit dem Protokoll anstrebe.
Über Monate hinweg baute die Gruppe Vertrauen durch persönliche Treffen, Telegram-Koordination, implementierte einen Ökosystem-Vault auf Drift und tätigte eine Vault-Einzahlung von 1 Million Dollar eigenen Kapitals, nur um dann zu verschwinden, wobei Chats und Malware nach dem Exploit „vollständig bereinigt“ wurden.
Die DEX erklärte, das Eindringen könnte ein bösartiges Code-Repository, eine gefälschte TestFlight-App und eine VSCode/Cursor-Schwachstelle betroffen haben, die eine stille Code-Ausführung ohne Benutzerinteraktion ermöglichte.
Drift schrieb den Angriff mit „mittelhoher Gewissheit“ der UNC4736 zu, auch bekannt als AppleJeus oder Citrine Sleet – derselben nordkoreanischen staatlich unterstützten Gruppe, die das Cybersicherheitsunternehmen Mandiant mit dem Radiant Capital Hack von 2024 in Verbindung brachte.
Drift sagte, die Personen, die die Mitarbeiter persönlich trafen, seien keine nordkoreanischen Staatsangehörigen gewesen, und bemerkte, dass mit der DVRK verbundene Akteure oft auf Drittvermittler für „persönliche Interaktion“ angewiesen sind.
Onchain-Geldflüsse und sich überschneidende Personas deuten laut den Vorfallreaktionsteams von SEAL 911 auf mit der DVRK verbundene Akteure hin, obwohl Mandiant die Zuordnung bis zur forensischen Untersuchung noch nicht bestätigt hat, so die Plattform.
Sicherheitsforscher @tayvano_, einer der Experten, denen Drift bei der Identifizierung der bösartigen Akteure dankte, deutete an, dass das Ausmaß weit über diesen Vorfall hinausgeht.
In einem Tweet listete der Experte Dutzende von DeFi-Protokollen auf und behauptete, dass „IT-Mitarbeiter der DVRK die Protokolle, die Sie kennen und lieben, bis zurück zum DeFi-Sommer aufgebaut haben“.
„Drift und Bybit zeigen dasselbe Muster – die Unterzeichner wurden nicht direkt auf Protokollebene kompromittiert, sie wurden dazu gebracht, bösartige Transaktionen zu genehmigen“, bemerkte Pearl. „Das Kernproblem ist nicht die Anzahl der Unterzeichner, sondern das mangelnde Verständnis der Transaktionsabsicht.“
Er sagte, dass Multi-Signatur-Wallets, obwohl eine Verbesserung gegenüber der Einzel-Schlüssel-Kontrolle, jetzt ein falsches Sicherheitsgefühl erzeugen und „ein Paradoxon“ einführen, bei dem geteilte Verantwortung die Prüfung über die Unterzeichner hinweg senkt.
„Sicherheit muss sich auf die Vor-Transaktionsvalidierung auf Blockchain-Ebene verlagern, wo Transaktionen unabhängig simuliert und vor der Ausführung verifiziert werden“, sagte Pearl und fügte hinzu, dass, sobald Angreifer kontrollieren, was Benutzer sehen, die einzige wirksame Verteidigung darin besteht, zu validieren, was eine Transaktion tatsächlich tut, unabhängig von der Schnittstelle.
In Bezug auf Entwickler-Tools als Angriffsfläche sagte Lavid, dass sich die Annahme von Grund auf ändern müsse.
„Man muss davon ausgehen, dass der Endpunkt kompromittiert ist“, sagte er Decrypt und verwies auf IDEs, Code-Repositories, mobile Apps und Signaturumgebungen als zunehmend häufige Einstiegspunkte.
„Wenn diese grundlegenden Tools anfällig sind, kann alles, was dem Benutzer gezeigt wird – einschließlich Transaktionen –, manipuliert werden“, sagte der Experte und bemerkte, dass dies „traditionelle Sicherheitsannahmen grundlegend untergräbt“, wodurch Teams „der Schnittstelle, dem Gerät oder sogar dem Signatur-Workflow“ nicht mehr vertrauen können.
