Der Exploit in Höhe von 285 Millionen US-Dollar bei Drift, einer dezentralisierten Börse (DEX), war der größte Krypto-Hack seit über einem Jahr, als die Börse Bybit 1,4 Milliarden US-Dollar verlor. Nordkoreanische staatlich unterstützte Hacker wurden in beiden Angriffen als Hauptverdächtige genannt.
Im vergangenen Herbst gaben sich die Angreifer als quantitatives Handelsunternehmen aus und traten persönlich auf einer großen Krypto-Konferenz an das Protokollteam von Drift heran, teilte Drift am Sonntag in einem X-Post mit.
„Es ist nun bekannt, dass dies offenbar ein gezielter Ansatz war, bei dem Personen aus dieser Gruppe in den folgenden sechs Monaten auf mehreren großen Branchenkonferenzen in mehreren Ländern bewusst und persönlich bestimmte Drift-Mitwirkende aufsuchten und kontaktierten", sagte die DEX.
Bisher haben nordkoreanische Cyberspione Kryptofirmen online über virtuelle Anrufe und Remote-Arbeit ins Visier genommen. Ein persönlicher Ansatz auf einer Konferenz würde normalerweise keinen Verdacht erregen, aber der Drift-Exploit sollte für die Teilnehmer Anlass genug sein, kürzlich geknüpfte Kontakte zu überprüfen.
Der Hack reduzierte Drifts TVL in etwa 12 Minuten um mehr als die Hälfte. Quelle: DefiLlama
Nordkorea erweitert Krypto-Strategie über Hacks hinaus
Das Blockchain-Forensikunternehmen TRM Labs beschrieb den Vorfall als den größten DeFi-Hack von 2026 (bisher) und den zweitgrößten Exploit in der Geschichte von Solana, knapp hinter dem 326 Millionen US-Dollar schweren Wormhole-Bridge-Hack von 2022.
Der erste Kontakt liegt etwa sechs Monate zurück, aber der Exploit selbst lässt sich laut TRM auf Mitte März zurückverfolgen. Der Angreifer begann damit, Gelder von Tornado Cash zu verschieben und das CarbonVote Token (CVT) bereitzustellen, während er Social Engineering nutzte, um Multisig-Unterzeichner zu überzeugen, Transaktionen zu genehmigen, die erhöhte Berechtigungen gewährten.
Anschließend schufen sie Glaubwürdigkeit für CVT, indem sie ein großes Angebot prägten und Handelsaktivitäten aufblähen, um echte Nachfrage zu simulieren. Drifts Orakel erfassten das Signal und behandelten den Token als legitimes Vermögen.
Als die vorab genehmigten Transaktionen am 01.04. ausgeführt wurden, wurde CVT als Sicherheit akzeptiert, Auszahlungslimits wurden erhöht und Gelder wurden in realen Vermögenswerten abgehoben, einschließlich USDC.
TRM skizziert Geldflüsse von Tornado Cash im März, die zur Vorbereitung des Drift-Exploits verwendet wurden. Quelle: TRM Labs
Verwandt: Nordkoreanischer Spion macht Fehler und enthüllt Verbindungen in gefälschtem Vorstellungsgespräch
Laut TRM übertrafen Geschwindigkeit und Aggressivität der anschließenden Geldwäsche die beim Bybit-Hack beobachtete.
Es wird allgemein angenommen, dass Nordkorea groß angelegte Krypto-Diebstähle wie die Drift- und Bybit-Angriffe neben langfristigen Taktiken einsetzt, einschließlich der Platzierung von Agenten in Remote-Rollen bei Tech- und Kryptofirmen, um stetige Einnahmen zu generieren. Der Sicherheitsrat der Vereinten Nationen hat erklärt, dass solche Gelder zur Unterstützung des Waffenprogramms des Landes verwendet werden.
Sicherheitsforscherin Taylor Monahan sagte, die Infiltration von DeFi-Protokollen reiche bis zum „DeFi-Sommer" zurück, und fügte hinzu, dass etwa 40 Protokolle Kontakt mit mutmaßlichen DPRK-Agenten hatten.
Nordkoreanische Staatsmedien berichteten am Donnerstag, dass das Land eine elektromagnetische Waffe und eine Kurzstreckenrakete namens Hwasong-11 getestet habe, die mit Clustersprengköpfen ausgestattet war.
Geschätzte Abmessungen für die KN-23, auch bekannt als Hwasong-11A. Quelle: Christian Maire, FRS
Infiltrationsnetzwerk erzeugt stetige Krypto-Einnahmen
Eine separate Untersuchung enthüllte, wie ein Netzwerk nordkoreanisch verbundener IT-Arbeiter durch anhaltende Infiltration Millionen generierte.
Von ZachXBT geteilte Daten aus anonymer Quelle zeigten, dass sich das Netzwerk als Entwickler ausgab und sich in Krypto- und Tech-Firmen einbettete, wobei es etwa 1 Million US-Dollar pro Monat und mehr als 3,5 Millionen US-Dollar seit November generierte.
Die Gruppe sicherte sich Jobs mit gefälschten Identitäten, leitete Zahlungen über ein gemeinsames System, konvertierte dann Gelder in Fiat und schickte sie über Plattformen wie Payoneer an chinesische Bankkonten.
Wallet-Verfolgung verband einen Teil des Flusses mit Adressen, die mit bekannter DPRK-Aktivität verbunden sind, sagte der Blockchain-Detektiv. Quelle: ZachXBT
Verwandt: Sind Sie Freelancer? Nordkoreanische Spione könnten Sie benutzen
Die Operation stützte sich auf grundlegende Infrastruktur, einschließlich einer gemeinsamen Website mit einem gemeinsamen Passwort und internen Bestenlisten zur Verfolgung der Einnahmen.
Die Agenten bewarben sich in aller Offenheit mit VPNs und gefälschten Dokumenten um Stellen, was auf eine langfristige Strategie hinweist, Agenten einzubetten, um stetige Einnahmen zu erzielen.
Verteidigungsmaßnahmen entwickeln sich weiter, während sich Infiltrationstaktiken verbreiten
Cointelegraph stieß 2025 in einer von Heiner García geleiteten Untersuchung auf ein ähnliches Schema, der Monate im Kontakt mit einem mutmaßlichen Agenten verbrachte.
Cointelegraph nahm später an Garcías Schein-Interview mit einem Verdächtigen teil, der sich „Motoki" nannte und behauptete, Japaner zu sein. Der Verdächtige beendete das Gespräch wütend, nachdem er es nicht geschafft hatte, sich in seinem angeblichen Mutterdialekt vorzustellen.
Die Untersuchung ergab, dass Agenten geografische Beschränkungen umgingen, indem sie Fernzugriff auf Geräte verwendeten, die sich physisch in Ländern wie den USA befanden. Anstatt VPNs zu verwenden, bedienten sie diese Maschinen direkt, wodurch ihre Aktivität lokal erschien.
Inzwischen haben Tech-Headhunter erkannt, dass die Person am anderen Ende eines virtuellen Vorstellungsgesprächs tatsächlich ein nordkoreanischer Cyberspion sein könnte. Eine virale Verteidigungsstrategie besteht darin, Verdächtige aufzufordern, Kim Jong Un zu beleidigen. Bisher war die Taktik effektiv.
Ein mutmaßlicher nordkoreanischer IT-Arbeiter erstarrt, als er aufgefordert wird, Kim Jong Un ein „fettes, hässliches Schwein" zu nennen. Quelle: Tanuki42
Da Drift jedoch persönlich kontaktiert wurde und Garcías Erkenntnisse zeigten, dass Agenten kreative Methoden zur Umgehung geografischer Beschränkungen finden, haben sich nordkoreanische Akteure weiterhin an die Katz-und-Maus-Dynamik angepasst.
Interviewte aufzufordern, Nordkoreas obersten Führer ein „fettes Schwein" zu nennen, ist vorerst eine effektive Strategie, aber Sicherheitsforscher warnen, dass dies nicht ewig funktionieren wird.
Magazin: Phantom-Bitcoin-Schecks, China verfolgt Steuern auf Blockchain: Asia Express
- #Kryptowährungen
- #Cyberkriminalität
- #Nordkorea
- #DeFi
- #Features
- #Branche
