Drift Protocol 280-Millionen-Dollar-Vorfall: Monatelange gezielte Vorbereitung

Drift Protocol, die dezentrale Börse, erklärt, dass der jüngste Sicherheitsvorfall kein zufälliger Vorfall war, sondern eine sechs Monate andauernde, hochkoordinierte Operation, die von einem strukturierten Netzwerk von Bedrohungsakteuren durchgeführt wurde. Die vorläufige Bewertung des Unternehmens beschreibt den Angriff als eine geheimdienstähnliche Kampagne, die organisatorische Unterstützung, erhebliche Ressourcen und Monate gezielter Vorbereitung erforderte. Externe Schätzungen beziffern die Verluste auf etwa 280 Millionen US-Dollar.

Drift verfolgte den Plan bis Oktober 2025 zurück, als Angreifer, die sich als quantitatives Handelsunternehmen ausgaben, auf einer großen Krypto-Konferenz auf Drift-Mitwirkende zugingen und Interesse an einer Integration mit dem Protokoll signalisierten. In den folgenden sechs Monaten trat die Gruppe persönlich mit Drift-Mitwirkenden bei mehreren Branchenveranstaltungen in Kontakt. Drift beschrieb den Ansatz als gezielt: Personen aus der Gruppe wirkten technisch versiert, verfügten über überprüfbare berufliche Hintergründe und waren mit der Funktionsweise von Drift vertraut. Die Angreifer nutzten persönliche Treffen, um Vertrauen aufzubauen, verwendeten dann gemeinsam genutzte link-basierte Payloads und Tools, um die Geräte der Mitwirkenden zu kompromittieren, ermöglichten den Exploit und wischten ihre Spuren aus.

Wichtigste Erkenntnisse

• Der Drift Protocol-Sicherheitsvorfall wird als eine sechs Monate andauernde, koordinierte Operation beschrieben, mit einer externen Verlustschätzung von nahezu 280 Millionen US-Dollar.
• Die Untersuchung deutet auf eine persönliche Rekrutierungskampagne zur Konferenzzeit hin, die um Oktober 2025 begann und auf Drift-Mitwirkende abzielte.
• Angreifer erhielten Zugang durch kompromittierte Geräte über bösartige Links und Tools und entfernten dann jede Spur ihrer Aktivität nach der Ausführung.
• Drift behauptet eine mögliche Verbindung zum Radiant Capital-Hack vom Oktober 2024 und deutet an, dass dieselben Akteure beteiligt sein könnten, obwohl die Zuordnung nuanciert bleibt.
• Radiant Capital beschrieb den Vorfall von 2024 als Malware, die über Telegram von einem mit Nordkorea verbundenen Hacker übermittelt wurde, der sich als ehemaliger Auftragnehmer ausgab; Drift warnt, dass die persönlich gesehenen Personen keine nordkoreanischen Staatsangehörigen waren.
• Der Fall unterstreicht anhaltende Sicherheitsrisiken auf Krypto-Konferenzen und die Notwendigkeit erhöhter Sorgfaltspflicht bei der Zusammenarbeit mit externen Mitarbeitern.

Entfaltender Zeitplan: von Konferenz-Neugier zum Exploit

Drifts Bericht zeigt, dass die Angreifer ihr Engagement bei einer prominenten Branchenveranstaltung begannen und sich als potenzielle Integrationspartner präsentierten statt als offene Angreifer. In den folgenden Monaten traf sich die Gruppe mit Drift-Mitwirkenden bei mehreren Veranstaltungen, baute sorgfältig Beziehungen auf und demonstrierte ein glaubwürdiges technisches Verständnis von Drifts Abläufen. Diese Phase half den Angreifern, Zugang zu internen Kanälen und vertrauenswürdigen Kommunikationen zu erhalten, die dann zum Kanal für den Exploit selbst wurden.

Laut Drift war die Operation bewusst strukturiert, mit organisierter Unterstützung und Ressourcen, die es den Angreifern ermöglichten, eine langfristige Kampagne aufrechtzuerhalten. Die Angreifer setzten schließlich bösartige Tools und Links über die kompromittierten Geräte von Drift-Mitwirkenden ein und ermöglichten den Sicherheitsvorfall. Nach dem Exploit löschten die Eindringlinge Berichten zufolge ihre digitalen Fußabdrücke, was die Reaktion auf den Vorfall und die forensische Arbeit für Drift und seine Partner erschwerte.

Der Sicherheitsvorfall dient als ernüchternde Erinnerung für Teilnehmer im Krypto-Bereich: Selbst persönliche Interaktionen auf Konferenzen – oft als Networking-Möglichkeiten gesehen – können als Vektoren für ausgeklügelte, gut ausgestattete Bedrohungsakteure genutzt werden. Die Dynamik unterstreicht die Bedeutung strenger Gerätehygiene, mehrschichtiger Sicherheitspraktiken und vorsichtiger Zusammenarbeit mit Drittanbietern in einem Sektor, in dem das Vertrauensgewebe eng mit Interoperabilität verwoben ist.

Radiant Capital-Verbindung: eine potenzielle Verbindungslinie mit wichtigen Vorbehalten

Drift sagte, es habe ein hohes bis mittelhohes Vertrauen, dass dieselbe Gruppe hinter dem Radiant Capital-Hack vom Oktober 2024 mit dem Drift-Vorfall verbunden sein könnte. Der Radiant Capital-Sicherheitsvorfall wurde im Dezember 2024 offengelegt, wobei das Unternehmen die Intrusion als über Telegram übermittelte Malware von einem mit Nordkorea verbundenen Akteur beschrieb, der sich als ehemaliger Auftragnehmer ausgab. In diesem Fall soll eine unter Entwicklern zur Rückmeldung geteilte ZIP-Datei die Malware geliefert haben, die die Intrusion ermöglichte.

Drift betonte, dass die Personen, die persönlich auf Konferenzen erschienen, keine nordkoreanischen Staatsangehörigen waren. Das Unternehmen stellte auch fest, dass DPRK-verbundene Bedrohungsakteure bekanntermaßen Drittanbieterplattformen nutzen, um persönlichen Beziehungsaufbau durchzuführen, ein Muster, das auch in anderen Fällen beobachtet wurde. Die Verbindung bleibt Gegenstand laufender Untersuchungen, und die Zuordnung in komplexen Cyber-Vorfällen entwickelt sich oft weiter, wenn neue Beweise auftauchen.

Im Kontext hob der Vorfall von Radiant Capital hervor, wie Social Engineering und Remote-Payloads mit persönlichem Vertrauensaufbau zusammenkommen können, um selbst ausgeklügelte Systeme zu durchbrechen. Die Konvergenz dieser Narrative – konferenzbasierte Rekrutierung, durch kompromittierte Geräte übermittelte Malware und Verbindungen zu früheren hochkarätigen Hacks – wird von Ermittlern unter die Lupe genommen, während sie die vollständige Ereigniskette rund um Drifts Sicherheitsvorfall zusammensetzen.

Laufende Untersuchung und Auswirkungen auf die Branche

Drift sagte, es arbeite mit Strafverfolgungsbehörden und anderen Branchenteilnehmern zusammen, um ein vollständiges Bild dessen zusammenzustellen, was während des Angriffs am 01.04. geschah. Die Offenlegung des Unternehmens unterstreicht den anhaltenden Bedarf an branchenübergreifender Zusammenarbeit in der Bedrohungsinformation, Vorfallreaktion und Post-Breach-Forensik. Während Drift nicht alle technischen Details der Kompromittierung offengelegt hat, weist die Betonung auf einen längeren, koordinierten Aufwand auf ein Maß an Raffinesse hin, das über opportunistische Intrusionen hinausgeht.

Für Investoren und Entwickler im DeFi-Bereich verstärkt der Drift-Vorfall mehrere praktische Erkenntnisse. Erstens sind selbst langjährige Mitwirkende und vertrauenswürdige Beziehungen nicht immun gegen Manipulation, wenn Angreifer persönliche Taktiken mit technischen Exploits verbinden. Zweitens kann die Zuordnung in ausgeklügelten Kampagnen mehrdeutig sein und erfordert sorgfältige, evidenzbasierte Überprüfungen statt voreiliger Schlussfolgerungen. Schließlich unterstreicht die Episode den anhaltenden Bedarf an robusten Sicherheitsarchitekturen, die mehrstufige Intrusionen erkennen und eindämmen können, einschließlich kompromittierter Anmeldedaten, Geräte-Footholds und Post-Exploitation-Spuren.

Während sich die Untersuchung entfaltet, sollten Leser auf Updates zu den Methoden der Angreifer, neue Kompromittierungsindikatoren und programmatische Veränderungen achten, wie Drift und andere Protokolle das Onboarding von Mitwirkenden, Partnerintegrationen und Playbooks für Vorfallreaktionen angehen. Die Konvergenz eines mehrmonatigen, konferenzbasierten Ansatzes mit einer potenziellen Verbindung zu früheren hochkarätigen Sicherheitsvorfällen betont eine breitere Risikolandschaft, mit der dezentrale Plattformen konfrontiert sind, wenn sie skalieren und über das Ökosystem hinweg zusammenarbeiten.

Was ungewiss bleibt, ist das volle Ausmaß der Auswirkungen des Sicherheitsvorfalls auf Drifts Nutzer und Liquidität, wie schnell die Plattform sich operativ erholen wird und ob zusätzliche Zuordnungsfälle das Verständnis von Bedrohungsakteur-Mustern im DeFi-Bereich neu gestalten werden. Die kommenden Wochen werden sowohl für die Transparenz als auch für die Sicherheitslage in einer Branche entscheidend sein, die zunehmend auf offene Zusammenarbeit und grenzüberschreitende Partnerschaften angewiesen ist, um Innovationen voranzutreiben.

Mit Blick auf die Zukunft werden Marktteilnehmer Updates von Drift und verwandten Sicherheitsforschern auf neue Erkenntnisse über Akteure, Tools und die breiteren Auswirkungen auf DeFi-Governance, Risikomanagement und konferenzbasierte Kooperationspraktiken beobachten wollen.

Dieser Artikel wurde ursprünglich als Drift Protocol $280M Breach: Months of Deliberate Preparation auf Crypto Breaking News veröffentlicht – Ihre vertrauenswürdige Quelle für Krypto-Nachrichten, Bitcoin-Nachrichten und Blockchain-Updates.