Der größte DeFi-Exploit des Jahres begann auf einer Networking-Veranstaltung mit Gratisgetränken — Drift Protocol gab am 5. Apr. bekannt, dass sein Apr. 1 hack das Ergebnis einer sechsmonatigen Geheimdienstoperation war, die nun mit mittlerer bis hoher Sicherheit nordkoreanischen, staatlich nahestehenden Akteuren zugeschrieben wird.
Details zum Drift-Protocol-Angriff
Die Infiltration began im Herbst 2025, als eine Gruppe, die sich als quantitative Handelsfirma ausgab, Drift-Mitwirkende auf einer großen Krypto-Konferenz ansprach. In den folgenden Monaten trafen sie Teammitglieder persönlich auf mehreren Branchenevents in verschiedenen Ländern.
Sie zahlten mehr als 1 Mio. $ ihres eigenen Kapitals in einen Ecosystem Vault ein.
Sie stellten in mehreren Arbeitssitzungen detaillierte Produktfragen und bauten damit scheinbar einen legitimen Handelsbetrieb innerhalb der Drift-Infrastruktur auf.
Zwischen Dezember 2025 und März 2026 vertiefte die Gruppe ihre Verbindungen durch Vault-Integrationen und fortgesetzte persönliche Treffen auf Konferenzen. Für die Mitwirkenden bestand kein Anlass zu Misstrauen — zum Zeitpunkt des Exploits war die Beziehung seit fast einem halben Jahr gewachsen und umfasste verifizierte berufliche Hintergründe, substanzielle technische Gespräche und eine funktionierende On-Chain-Präsenz.
Als der Angriff am 1. Apr. erfolgte, wurden die Telegram-Chats der Gruppe und die Schadsoftware bereinigt. Forensische Analysen identifizierten zwei wahrscheinliche Einbruchsvektoren: ein bösartiges Code-Repository, das unter dem Vorwand geteilt wurde, ein Vault-Frontend zu deployen, und eine TestFlight-Anwendung, die als Wallet-Produkt der Gruppe präsentiert wurde.
Eine bekannte Schwachstelle in den Editoren VSCode und Cursor, die von Dezember 2025 bis Februar 2026 von der Sicherheitscommunity aktiv hervorgehoben wurde, könnte eine stille Codeausführung allein durch das Öffnen einer Datei ermöglicht haben.
Alle verbleibenden Protokollfunktionen wurden eingefroren und kompromittierte Wallets aus dem Multisig entfernt. Mandiant wurde mit der Untersuchung beauftragt, und die Wallets der Angreifer wurden bei Börsen und Bridge-Betreibern markiert.
Auch lesen: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Verdacht auf nordkoreanische Bedrohungsakteure
Untersuchungen des Teams SEALS 911 kamen mit mittlerer bis hoher Sicherheit zu dem Schluss, dass die Operation von denselben Bedrohungsakteuren durchgeführt wurde, die hinter dem Radiant Capital-Hack im Oktober 2024 standen.
Mandiant schrieb diesen Angriff zuvor UNC4736 zu, einer nordkoreanischen, staatlich nahestehenden Gruppe, die auch als AppleJeus oder Citrine Sleet verfolgt wird.
Die Verbindung beruht sowohl auf On-Chain-Belegen als auch auf operativen Mustern.
Geldflüsse, die zur Vorbereitung und zum Testen der Drift-Operation verwendet wurden, lassen sich auf die Radiant-Angreifer zurückverfolgen, und die in der Kampagne eingesetzten Personas überschneiden sich mit bekannter, mit der DVRK in Verbindung stehender Aktivität. Auffällig ist, dass die Personen, die persönlich auftraten, keine nordkoreanischen Staatsangehörigen waren — Bedrohungsakteure der DVRK auf diesem Niveau sind dafür bekannt, Drittparteien für persönliche Kontakte einzusetzen.
Weiter lesen: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline