Drift Verknüpft $280M Hack mit Verdächtigen aus Nordkorea

Das Team hinter dem Drift-Protokoll hat neue Details zu seinem kürzlichen $280 Millionen Exploit geteilt. Der Angriff, der am 1. April stattfand, scheint nun weitaus komplexer zu sein als zunächst angenommen. Laut dem neuesten Update war der Vorfall nicht plötzlich oder zufällig, sondern Teil einer langen und sorgfältig geplanten Operation. 

🚨UPDATE: DRIFT'S $280M HACK WAR EIN SECHSMONATIGER NORDKOREANISCHER SOCIAL ENGINEERING-ANGRIFF

Das Drift-Protokoll (@DriftProtocol) hat enthüllt, dass der Exploit am 1. April, der $280 Millionen von der Solana-basierten Perpetuals-Börse abgezogen hat, kein zufälliger Angriff war. Es war das Ergebnis eines… pic.twitter.com/aRqK1yagbH

— BSCN (@BSCNews) 6. April 2026

Das Team glaubt, dass der Angriff möglicherweise mit einer Gruppe in Verbindung steht, die mit Nordkorea assoziiert wird. Ermittler beschreiben es als eine „strukturierte Geheimdienstoperation“. Es erforderte wahrscheinlich monatelange Planung, Koordination und Ausführung.

Eine Sechsmonatige Vorbereitung

Die Untersuchung zeigt, dass die Angreifer bereits Ende 2025 mit ihrer Arbeit begonnen haben. Während dieser Zeit traten sie als Handelsfirma auf und kontaktierten die Mitwirkenden des Drift-Protokolls. Sie trafen Teammitglieder auf großen Krypto-Events in verschiedenen Ländern. Im Laufe der Zeit bauten sie Vertrauen durch wiederholte Treffen und technische Diskussionen auf.

Die Gruppe wirkte professionell und gut vorbereitet. Sie teilten Ideen, diskutierten Strategien und hinterlegten sogar Gelder im Protokoll. Dadurch schienen sie zunächst nicht verdächtig. Stattdessen wirkten sie wie normale Partner, die dem Ökosystem beitreten wollten.

Wie entwickelte sich der Angriff?

Über mehrere Monate hinweg erlangten die Angreifer tiefere Zugriffe. Sie interagierten mit den Mitwirkenden über Chats und teilten Werkzeuge. In einigen Fällen schickten sie Links zu Code-Repositories und Apps. Diese schienen Teil einer laufenden Zusammenarbeit zu sein.

Doch die Ermittler glauben nun, dass die Angreifer diese Werkzeuge möglicherweise genutzt haben, um Geräte zu kompromittieren. Sobald sie Zugriff erlangten, bereiteten die Angreifer ihren nächsten Schritt vor. Am 1. April setzten sie den Plan schnell um. Diese Operationen nutzen oft Vermittler, um Vertrauen aufzubauen. Die Angreifer verwendeten vorab genehmigte Berechtigungen, um die Kontrolle über wichtige Systeme zu übernehmen. Dann entfernten sie Sicherheitsvorkehrungen und zogen Gelder aus dem Protokoll ab. Innerhalb kurzer Zeit wurden etwa $280 Millionen abgezogen.

Verbindungen zu Bekannten Bedrohungsgruppen

Frühe Erkenntnisse deuten auf eine mögliche Verbindung zu einer bekannten, mit Nordkorea verbundenen Gruppe hin. Diese Gruppe wurde mit früheren Krypto-Angriffen in Verbindung gebracht. Die Verbindung ergibt sich aus On-Chain-Daten und ähnlichen Taktiken, die in früheren Vorfällen verwendet wurden. Ermittler stellten Überschneidungen im Verhalten und in den Mustern der Geldbewegungen fest.

Die Zuordnung ist jedoch noch nicht vollständig bestätigt. Die laufenden forensischen Arbeiten sind noch im Gange. Es ist auch wichtig zu beachten, dass die Personen, die persönlich mit dem Team interagierten, wahrscheinlich keine direkten Mitglieder waren. Diese Operationen nutzen oft Vermittler, um Vertrauen aufzubauen.

Was passiert als Nächstes?

Nach dem Angriff hat Drift mehrere Schritte unternommen, um den Schaden zu begrenzen. Die Plattform hat wichtige Funktionen eingefroren und kompromittierte Zugriffe entfernt. Währenddessen arbeitet das Drift-Protokoll Team mit Sicherheitsexperten und Strafverfolgungsbehörden zusammen. Ihr Ziel ist es, die gestohlenen Gelder zurückzuverfolgen und das volle Ausmaß der Sicherheitsverletzung zu verstehen.

Dieser Vorfall hebt ein wachsendes Risiko im Krypto-Bereich hervor. Nicht alle Angriffe zielen auf Code ab. Einige zielen stattdessen auf Menschen. In diesem Fall wurde Vertrauen als Einstiegspunkt genutzt. Die Angreifer verbrachten Monate damit, Beziehungen aufzubauen, bevor sie handelten. Infolgedessen dient das Ereignis als Warnung. Selbst erfahrene Teams müssen wachsam bleiben. In der heutigen Umgebung geht Sicherheit über Technologie hinaus. Sie hängt auch von menschlichem Urteilsvermögen und Vorsicht ab.