Akteure mit Nordkorea-Bezug haben sich über Jahre hinweg still und heimlich in Krypto-Firmen und DeFi-Teams integriert. Dies wirft neue Bedenken hinsichtlich des Insider-Risikos auf, nachdem eine Reihe von hochkarätigen Exploits mit dem Cyber-Apparat des Landes in Verbindung gebracht wurden.
Die Sicherheitsforscherin und MetaMask-Entwicklerin Taylor Monahan sagte, diese Taktiken reichten bis in die Anfänge des dezentralen Finanzwesens zurück, wobei Personen mit Verbindungen zur Demokratischen Volksrepublik Korea zu mehreren weit verbreiteten Protokollen beigetragen hätten.
„Viele IT-Mitarbeiter der DVRK haben die Protokolle, die Sie kennen und lieben, bis zurück zum DeFi-Sommer aufgebaut“, sagte sie am Sonntag und fügte hinzu, dass über 40 Plattformen, darunter mehrere bekannte Projekte, irgendwann auf solche Entwickler zurückgegriffen haben.
Sie merkte jedoch an, dass die in ihren Lebensläufen angegebene „siebenjährige Blockchain-Entwicklererfahrung“ „keine Lüge“ sei.
Ermittler bringen Nordkoreas Cyber-Operationen seit Langem mit der Lazarus Group in Verbindung, einem staatlich unterstützten Kollektiv, das laut R3ACH-Analysten seit 2017 digitale Vermögenswerte im Wert von rund 7 Milliarden US-Dollar gestohlen haben soll.
Die Gruppe wird mit einigen der größten Vorfälle in der Branche in Verbindung gebracht, darunter der 625 Millionen US-Dollar schwere Ronin Bridge Exploit im Jahr 2022, der 235 Millionen US-Dollar schwere WazirX Hack im Jahr 2024 und der 1,4 Milliarden US-Dollar schwere Bybit Vorfall im Jahr 2025.
Der 280 Millionen US-Dollar schwere Exploit des Drift Protokolls in der vergangenen Woche hat erneut für Aufsehen gesorgt. Das Projekt gab an, mit „mittelhoher Wahrscheinlichkeit“ davon auszugehen, dass eine staatlich verbundene nordkoreanische Gruppe hinter dem Angriff steckte, und verband den Vorfall mit einem breiteren Muster von Infiltration und Social Engineering.
Die persönlichen Treffen, die dem Angriff vorausgingen, fanden jedoch nicht mit nordkoreanischen Staatsbürgern statt, sondern mit „Drittvermittlern“, die „vollständig konstruierte Identitäten, einschließlich beruflicher Werdegänge, öffentlich zugänglicher Referenzen und beruflicher Netzwerke“ nutzten.
Diese Profile umfassten berufliche Werdegänge, öffentliche Referenzen und aktive berufliche Netzwerke, wodurch sie vor dem Exploit Vertrauen durch persönliche Interaktionen aufbauen konnten.
Der unabhängige Blockchain-Ermittler ZachXBT hat in einem kürzlich veröffentlichten X-Post gewarnt, dass nicht alle Bedrohungen, die mit Nordkorea in Verbindung stehen, das gleiche Maß an Raffinesse aufweisen.
„Das Hauptproblem ist, dass alle sie über einen Kamm scheren, obwohl die Komplexität der Bedrohungen unterschiedlich ist“, sagte er.
Er beschrieb viele Infiltrationsversuche als relativ einfach, die eher auf Beharrlichkeit als auf technischer Komplexität beruhten. Kontaktaufnahmen über Stellenausschreibungen, LinkedIn, E-Mails, Zoom-Anrufe und Bewerbungsverfahren sind weiterhin üblich.
„Einfach und keineswegs raffiniert [...] das Einzige daran ist, dass sie unerbittlich sind“, sagte er und fügte hinzu, dass Teams, die auch im Jahr 2026 noch auf solche Taktiken hereinfallen, Gefahr laufen, als fahrlässig angesehen zu werden.
