Drift gibt an, dass der $270-Millionen-Exploit eine sechsmonatige Geheimdienstoperation Nordkoreas war

Einer sechsmonatigen Geheimdienstoperation ging die $270-Millionen-Ausnutzung des Drift Protocols voraus, die von einer nordkoreanischen, staatlich verbundenen Gruppe durchgeführt wurde, so ein detailliertes Vorfall-Update veröffentlicht vom Team bereits am Sonntag.

Die Angreifer nahmen erstmals im Herbst 2025 auf einer großen Kryptokonferenz Kontakt auf und stellten sich als quantitative Handelsfirma vor, die eine Integration mit Drift anstrebt.

Sie waren technisch versiert, verfügten über nachweisbare berufliche Hintergründe und verstanden, wie das Protokoll funktionierte, so Drift. Es wurde eine Telegram-Gruppe eingerichtet, und es folgten Monate substantieller Gespräche über Handelsstrategien und Tresorintegration – Interaktionen, die für den Onboarding-Prozess von Handelsunternehmen bei DeFi-Protokollen üblich sind.

Zwischen Dezember 2025 und Januar 2026 integrierte die Gruppe ein Ecosystem Vault auf Drift, führte mehrere Arbeitssitzungen mit Mitwirkenden durch, hinterlegte über 1 Million US-Dollar ihres eigenen Kapitals und etablierte eine funktionierende operative Präsenz innerhalb des Ökosystems.

Die Drift-Beitragenden trafen die Personen der Gruppe persönlich auf mehreren großen Branchenkonferenzen in verschiedenen Ländern im Februar und März. Bis zum Zeitpunkt des Angriffs am 1. April bestand die Beziehung bereits seit fast einem halben Jahr.

Die Kompromittierung scheint über zwei Vektoren erfolgt zu sein.

Ein zweiter lud eine TestFlight-Anwendung herunter, Apples Plattform zur Verteilung von Vorabversionen von Apps, die die Sicherheitsüberprüfung des App Stores umgeht, welche die Gruppe als ihr Wallet-Produkt präsentierte.

Für den Repository-Vektor verwies Drift auf eine bekannte Sicherheitslücke in VSCode und Cursor, zwei der am weitesten verbreiteten Code-Editoren in der Softwareentwicklung, die von der Sicherheitsgemeinschaft bereits seit Ende 2025 hervorgehoben wurde. Dabei reichte das bloße Öffnen einer Datei oder eines Ordners im Editor aus, um stillschweigend beliebigen Code auszuführen, ohne jegliche Aufforderung oder Warnung.

Sobald die Geräte kompromittiert waren, hatten die Angreifer alles, was sie benötigten, um die beiden Multisig-Genehmigungen zu erhalten, die den dauerhaften Nonce-Angriff ermöglichten, den CoinDesk Anfang dieser Woche näher erläuterte. Diese vorab signierten Transaktionen lagen mehr als eine Woche inaktiv, bevor sie am 1. April ausgeführt wurden und innerhalb von weniger als einer Minute 270 Millionen US-Dollar aus den Tresoren des Protokolls abzogen.

Die Zuschreibung erfolgt an UNC4736, eine mit dem nordkoreanischen Staat verbundene Gruppe, die auch als AppleJeus oder Citrine Sleet bekannt ist, basierend sowohl auf On-Chain-Mittelbewegungen, die auf die Angreifer von Radiant Capital zurückverfolgt werden können, als auch auf einer operativen Überschneidung mit bekannten, mit der DVRK in Verbindung stehenden Persönlichkeiten.

Die Personen, die persönlich auf Konferenzen erschienen, waren jedoch keine nordkoreanischen Staatsbürger. Bedrohungsakteure der DPRK auf dieser Ebene sind dafür bekannt, Dritte als Vermittler einzusetzen, die über vollständig konstruierte Identitäten, Beschäftigungsverläufe und professionelle Netzwerke verfügen, die einer gründlichen Prüfung standhalten sollen.

Drift forderte andere Protokolle auf, Zugangskontrollen zu überprüfen und jedes Gerät, das mit einem Multisig in Kontakt kommt, als potenzielles Ziel zu betrachten. Die weiterreichende Implikation ist unbequem für eine Branche, die auf Multisig-Governance als ihr primäres Sicherheitsmodell angewiesen ist.

Aber wenn Angreifer bereit sind, sechs Monate und eine Million Dollar zu investieren, um eine legitime Präsenz innerhalb eines Ökosystems aufzubauen, Teams persönlich zu treffen, echtes Kapital beizusteuern und abzuwarten, stellt sich die Frage, welches Sicherheitsmodell darauf ausgelegt ist, dies zu erkennen.