Der größte DeFi-Exploit des Jahres begann auf einer Networking-Veranstaltung mit kostenlosen Drinks — Drift Protocol gab am 5. April bekannt, dass sein Apr. 1 hack das Ergebnis einer sechsmonatigen Geheimdienstoperation war, die nun mit mittel-hoher Sicherheit nordkoreanischen, staatsnahen Akteuren zugeschrieben wird.
Details zum Angriff auf Drift Protocol
Die Infiltration began im Herbst 2025, als eine Gruppe, die sich als quantitatives Handelsunternehmen ausgab, Drift-Mitwirkende auf einer großen Krypto-Konferenz ansprach. In den folgenden Monaten trafen sie Teammitglieder persönlich bei mehreren Branchenevents in verschiedenen Ländern.
Sie zahlten mehr als 1 Mio. US-Dollar ihres eigenen Kapitals in einen Ecosystem Vault ein.
Sie stellten in mehreren Arbeitssitzungen detaillierte Produktfragen und bauten so eine scheinbar legitime Handelsoperation innerhalb der Drift-Infrastruktur auf.
Zwischen Dezember 2025 und März 2026 vertiefte die Gruppe ihre Verbindungen durch Vault-Integrationen und weitere persönliche Treffen auf Konferenzen. Für die Mitwirkenden gab es keinen Grund zur Skepsis — zum Zeitpunkt des Exploits bestand die Beziehung bereits fast ein halbes Jahr und umfasste verifizierte berufliche Hintergründe, substanzielle technische Gespräche und eine funktionierende On-Chain-Präsenz.
Als der Angriff am 1. April erfolgte, wurden die Telegram-Chats der Gruppe sowie die Schadsoftware gründlich bereinigt. Die forensische Analyse identifizierte zwei wahrscheinliche Angriffsvektoren: ein bösartiges Code-Repository, das unter dem Vorwand geteilt wurde, ein Vault-Frontend zu deployen, und eine TestFlight-Anwendung, die als Wallet-Produkt der Gruppe präsentiert wurde.
Eine bekannte Schwachstelle in den Editoren VSCode und Cursor, die von Dezember 2025 bis Februar 2026 von der Sicherheits-Community aktiv markiert wurde, könnte eine lautlose Codeausführung allein durch das Öffnen einer Datei ermöglicht haben.
Alle verbleibenden Protokollfunktionen wurden eingefroren und kompromittierte Wallets aus dem Multisig entfernt. Mandiant wurde mit der Untersuchung beauftragt, und die Wallets der Angreifer wurden bei Börsen und Bridge-Betreibern markiert.
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Verdacht auf nordkoreanische Threat-Actor
Untersuchungen des SEALS 911-Teams ergaben mit mittel-hoher Sicherheit, dass die Operation von denselben Threat-Actor durchgeführt wurde, die hinter dem Radiant Capital-Hack im Oktober 2024 standen.
Mandiant hatte diesen Angriff zuvor UNC4736 zugeschrieben, einer nordkoreanischen, staatsnahen Gruppe, die auch als AppleJeus oder Citrine Sleet bekannt ist.
Die Verbindung stützt sich sowohl auf On-Chain-Beweise als auch auf operationelle Muster.
Die Geldflüsse, mit denen die Drift-Operation vorbereitet und getestet wurde, lassen sich zu den Radiant-Angreifern zurückverfolgen, und die über die Kampagne hinweg eingesetzten Personas überlappen mit bekannter, mit der DVRK in Verbindung stehender Aktivität. Auffällig ist, dass die persönlich auftretenden Individuen keine nordkoreanischen Staatsangehörigen waren — Threat-Actor der DVRK auf diesem Niveau sind dafür bekannt, Drittparteien für persönliche Kontakte zu nutzen.
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline