Solana-Mitbegründer Anatoly Yakovenko hat den jüngsten Drift Protocol-Hack als "furchterregend" bezeichnet, nachdem bekannt wurde, dass er das Ergebnis eines ausgeklügelten Social-Engineering-Angriffs nordkoreanischer Hacker war.
Wie von U.Today berichtet, wurden dem Drift Protocol kürzlich 270 Millionen US-Dollar entzogen, was der bisher größte Solana-Hack innerhalb des Ökosystems ist. Das Protokoll sah sich gezwungen, alle Ein- und Auszahlungen einzustellen, und warnte die Benutzer ausdrücklich, dass der Vorfall kein Aprilscherz sei.
Der kürzlich vom Drift Protocol veröffentlichte Bericht enthüllte, dass die Übeltäter hinter dem historischen Hack die Entwickler physisch verfolgt und im realen Leben durch Social Engineering manipuliert haben. Dies erforderte eine alarmierende Geduld und Ressourcen.
Es wird stark vermutet, dass die Operation das Werk einer nordkoreanischen, staatlich organisierten Bedrohungsgruppe ist.
Ab Ende 2025 sprachen Drittvermittler (die keine nordkoreanischen Staatsangehörigen waren) Drift-Mitarbeiter auf großen Krypto-Konferenzen persönlich an. Die Angreifer, die mit nachweisbaren beruflichen Hintergründen und technischer Kompetenz prahlten, gaben sich als quantitatives Handelsunternehmen aus, das sich in das Protokoll integrieren wollte.
Das gefälschte Handelsunternehmen integrierte zwischen Dezember 2025 und Januar 2026 ein Ecosystem Vault auf Drift und hinterlegte über 1 Million US-Dollar eigenes Kapital.
Es gelang den Angreifern, die Illusion ein halbes Jahr lang aufrechtzuerhalten. Sie arbeiteten eng mit den Drift-Mitarbeitern in mehreren Arbeitssitzungen zusammen und trafen sie im Februar und März 2026 persönlich auf verschiedenen internationalen Konferenzen.
Im April hatten die Angreifer erfolgreich eine vertrauenswürdige Geschäftsbeziehung aufgebaut. Die Drift-Mitarbeiter schöpften keinen Verdacht, als die Gruppe Links zu Projekten teilte, die sie angeblich entwickelten.
Ein Mitarbeiter klonte ein von den Angreifern geteiltes Code-Repository. Dieses Repository enthielt wahrscheinlich eine bekannte Schwachstelle, die die Texteditoren VSCode und Cursor betraf. Ein zweiter Mitarbeiter wurde überzeugt, eine gefälschte TestFlight-Anwendung herunterzuladen.
Die Angreifer löschten nach dem erfolgreichen Exploit alle ihre Telegram-Chats und entfernten die bösartige Software.
