Die Gruppe oder Einzelpersonen zu finden, die Anfang dieser Woche Kryptowährungen im Wert von 285 Millionen US-Dollar von Drift gestohlen haben, mag in der realen Welt eine schwierige Aufgabe sein, aber das Team hinter der Solana-basierten dezentralen Börse wusste genau, wo es seine Angreifer On-Chain finden konnte.

Am Freitag teilte Drift in einem Post auf X mit, dass es Nachrichten über das Ethereum-Netzwerk an vier Wallets gesendet habe, die riesige Mengen gestohlener Kryptowährungen enthielten, die mehrere Sicherheitsexperten mit der Demokratischen Volksrepublik Korea in Verbindung bringen: „Wir sind bereit zu sprechen.“

Das sogenannte Einsiedlerkönigreich ist nicht gerade dafür bekannt, mit Projekten zu verhandeln, denen seine Elite-Hacker Gelder entziehen, wenn man bedenkt, dass mit Nordkorea verbundene Akteure in den letzten Jahren Kryptowährungen im Wert von 6,5 Milliarden US-Dollar entwendet haben, so das Blockchain-Sicherheitsunternehmen Elliptic. 

Dennoch deuteten die Nachrichten darauf hin, dass die wahre Identität desjenigen, der einen der größten Exploits im Bereich dezentraler Finanzen in diesem Jahr ermöglichte, möglicherweise noch nicht wirklich bekannt ist. Das liegt daran, dass sich die Nachrichten auf die Entdeckungsdetails im Zusammenhang mit den Identitäten der Angreifer konzentrierten.

„Kritische Informationen zu den am Exploit beteiligten Parteien wurden identifiziert“, so die On-Chain-Nachrichten des Drift-Teams. „An die Community: Drift wird weitere Updates teilen, sobald die Zuordnungen durch Dritte abgeschlossen sind.“

Wenn Millionen von Dollar in Krypto von einem DeFi-Projekt gestohlen werden, sind On-Chain-Verhandlungen ein übliches Vorgehen. Manchmal funktionieren sie. Vor einigen Jahren gab jemand, der 600 Millionen US-Dollar von Poly Network „zum Spaß“ gestohlen hatte, die Gelder nach einem längeren Dialog zurück. Oft ignorieren Angreifer jedoch jegliche Kontaktaufnahme und damit verbundene rechtliche Drohungen.

Die Wahrscheinlichkeit, dass die Gelder von Drift zurückgegeben werden, wenn nordkoreanische Hacker involviert sind, ist laut Michael Egorov, dem Gründer der dezentralen Börse Curve Finance, gleich Null.

„Sie kooperieren nie und haben keine Angst vor der Strafverfolgung“, sagte er gegenüber Decrypt.

Wenn die Gelder jedoch nicht von einer staatlich gesponserten Gruppe entwendet wurden, besteht die Chance, dass sie zurückgegeben werden, sagte er. Wenn die Identitäten der Angreifer enthüllt werden, so sagte er, „springt die Wahrscheinlichkeit, dass sie die Gelder zurückgeben, auf fast 100%“.

Egorov merkte an, dass „Maximal Extractable Value„Wenn sie es tun, geben sie die Gelder meistens zurück“, sagte er und fügte hinzu, dass sie manchmal einen Teil als Belohnung behalten oder es den Projekten überlassen, dies zu bestimmen.

Drift signalisiert Anfang dieser Woche, dass der Exploit, der Projekte im gesamten Solana-Ökosystem, die Abhängigkeiten von der dezentralen Börse aufgebaut hatten, betroffen hat, auf „ausgeklügelte Social Engineering“ zurückzuführen war. Die Angreifer konnten die administrative Kontrolle über die Sicherheit der Plattform erlangen, indem sie auf zwei private Schlüssel zugriffen.

Elliptic verwies auf das On-Chain-Verhalten und die Geldwäschemethoden der Angreifer als Faktoren, die sie zu der Annahme veranlassten, dass Hacker aus Nordkorea beteiligt waren. Dennoch deuteten andere Sicherheitsexperten an, dass die Angreifer möglicherweise über Insiderwissen verfügten.

Es ist unklar, wen Drift für die Hacker hält und ob die dezentrale Börse bereit ist, ihnen eine Belohnung anzubieten. Nichtsdestotrotz sind die Versuche, Gelder im Namen des Projekts und der Nutzer des DEX zurückzuholen, öffentlich einsehbar.

Decrypt hat Drift um eine Stellungnahme gebeten.

Jemand, der eine Wallet mit Ethereum im Wert von 200 US-Dollar kontrolliert, konnte der Versuchung nicht widerstehen, sich am Freitag einzumischen. In einer On-Chain-Nachricht an Drifts Wallet wettete die Person, dass die Angreifer „mir 10 Millionen US-Dollar schicken könnten, um das Drift-Team zu ärgern.“