CryptoMist Logo
Anmelden
Latest News

Nordkoreanische Hacker infiltrierten Drift 6 Monate vor $285M-Hack

Nordkoreanische Hacker von UNC4736 bauten sechs Monate lang Vertrauen bei Drift Protocol auf, bevor sie im April 2026 285 Mio. $ stahlen. So gingen sie vor.

Nordkoreanische Hacker infiltrierten Drift 6 Monate vor $285M-Hack

Das Wichtigste in Kürze

  • $285 Millionen wurden durch einen Exploit aus dem Drift Protocol abgezogen, der einer nordkoreanischen staatsnahen Gruppe namens UNC4736 zugeschrieben wird
  • Die Angreifer bauten über sechs Monate hinweg gefälschte Beziehungen auf, besuchten Konferenzen, tätigten eine $1 Million Testeinzahlung und verschwanden dann spurlos
  • Dieselbe Gruppe, auch bekannt als Citrine Sleet oder AppleJeus, hatte bereits 2024 Radiant Capital angegriffen
  • Sicherheitsexperten warnen: Der Angriffsvektor war nicht das Protokoll selbst, sondern die Menschen, Entwickler-Tools und Signierumgebungen

Der Drift Protocol Hack war kein schneller Raubzug. Es war eine sechs Monate dauernde verdeckte Operation, und der $285 Millionen schwere Drift Protocol Exploit, der Anfang April 2026 durchgeführt wurde, gilt mittlerweile als einer der methodischsten Krypto-Raubzüge, die je dokumentiert wurden. Laut einem detaillierten Vorfallsbericht der auf Solana basierenden dezentralen Börse vom Sonntag haben sich die Angreifer nicht mit roher Gewalt Zugang verschafft. Sie erschienen auf Konferenzen, bauten Beziehungen auf, hinterlegten eigenes Kapital und vergifteten dann leise die Tools, denen Entwickler am meisten vertrauten.

Wie haben nordkoreanische Hacker den Drift Protocol Hack durchgezogen?

Die kurze Antwort: Geduld. Drift erklärte, dass die Operation letzten Herbst auf einer großen Krypto-Branchenkonferenz begann, wo die Bedrohungsgruppe sich Mitwirkenden näherte und sich als quantitative Handelsfirma ausgab, die eine Integration mit dem Protokoll anstrebte. In den folgenden Monaten führten sie einen lehrbuchmäßigen Langzeitbetrug durch: Telegram-Gespräche, persönliche Folgetreffen und schließlich das Onboarding eines Ecosystem Vault direkt auf Drift.

Sie tätigten sogar eine Einzahlung von $1 Million aus eigenem Kapital. Das ist kein typischer Hacker-Schritt. Das ist Geheimdienstarbeit. Und es funktionierte. Als der Exploit schließlich zuschlag, hatten die Angreifer bereits alle Chats und Malware aus der Umgebung "vollständig bereinigt" und kaum Spuren hinterlassen.

Drift schrieb den Angriff mit "mittlerer bis hoher Konfidenz" UNC4736 Nordkorea zu, der Gruppe, die auch unter den Namen AppleJeus und Citrine Sleet geführt wird. Der technische Fußabdruck umfasste ein bösartiges Code-Repository, eine gefälschte TestFlight-App und eine VSCode/Cursor-Schwachstelle, die stille Code-Ausführung ermöglichte, ganz ohne Benutzerinteraktion.

Drift stellte außerdem etwas Wichtiges klar: Die Personen, die auf der Konferenz erschienen, waren keine nordkoreanischen Staatsangehörigen. DPRK-verbundene Operationen setzen routinemäßig Drittpartei-Mittelsmänner für persönliche Treffen ein, was der ohnehin schon ausgeklügelten Operation eine weitere Ebene glaubhafter Abstreitbarkeit verleiht.

Krypto-Teams stehen jetzt Gegnern gegenüber, die eher wie Geheimdiensteinheiten als wie Hacker agieren, und die meisten Organisationen sind strukturell nicht auf dieses Bedrohungsniveau vorbereitet.

— Michael Pearl, VP of Strategy, Cyvers

UNC4736 war schon einmal hier

Dies ist nicht UNC4736s erster Eintrag im DeFi-Vorfallsprotokoll. Das Cybersicherheitsunternehmen Mandiant hatte dieselbe Gruppe zuvor mit dem Radiant Capital Hack von 2024 in Verbindung gebracht, einem Angriff, bei dem etwa $50 Millionen aus dem Lending-Protokoll abgezogen wurden, verteilt auf USDC, USDT, ARB und mehrere Wrapped Token. Radiant bezeichnete ihn damals als einen der ausgefeiltesten Hacks, die je im DeFi-Bereich verzeichnet wurden.

Das Muster ist konsistent: Vertrauen aufbauen, Entwicklerumgebungen weaponisieren, die Lücke zwischen dem, was Unterzeichner sehen, und dem, was Transaktionen tatsächlich tun, ausnutzen. Michael Pearl, VP of Strategy beim Blockchain-Sicherheitsunternehmen Cyvers, brachte es auf den Punkt: Der Drift-Angriff ähnelte dem Bybit-Vorfall in einem entscheidenden Aspekt.

Onchain-Geldflüsse und überlappende Identitäten verbanden den Drift-Exploit mit DPRK-verbundenen Akteuren, so die Incident Responder von SEAL 911. Mandiant hatte laut dem Sonntags-Update des Protokolls eine formelle Zuordnung bis zum Abschluss der forensischen Untersuchung noch nicht bestätigt.

Die Sicherheitsforscherin @tayvano_, der Drift eine wichtige Rolle bei der Identifizierung der Angreifer zuschrieb, ging noch weiter und behauptete, dass DPRK-IT-Arbeiter beim Aufbau von "Protokollen geholfen haben, die ihr kennt und liebt, bis zurück zum DeFi Summer." Diese Behauptung verdient kritische Prüfung, aber sie wiegt schwerer, wenn man inmitten der Trümmer eines $285 Millionen Raubzugs steht.

Drift und Bybit verdeutlichen dasselbe Muster: Unterzeichner wurden nicht direkt auf Protokollebene kompromittiert, sondern dazu verleitet, bösartige Transaktionen zu genehmigen. Das Kernproblem ist nicht die Anzahl der Unterzeichner, sondern das fehlende Verständnis der Transaktionsabsicht.

— Michael Pearl, VP of Strategy, Cyvers

Was der $285M Drift-Exploit für die DeFi-Sicherheit bedeutet

Wenn Sie ein DeFi-Protokoll betreiben oder dazu beitragen, sollte dieser Angriff Sie dazu bringen, jedes Tool in Ihrem Stack zu überdenken. Der Drift-Vorfall bestätigt, was Sicherheitsforscher seit zwei Jahren sagen: Multisignatur-Wallets sind keine ausreichende Verteidigung. Sie erzeugen ein falsches Sicherheitsgefühl, argumentierte Pearl, weil geteilte Verantwortung dazu neigt, die individuelle Sorgfalt zu senken. Eine Person geht davon aus, dass eine andere geprüft hat. Niemand hat tatsächlich geprüft.

Die Angriffsfläche beim Drift Protocol Hack war keine Smart Contract-Schwachstelle oder ein Bridge-Exploit. Es waren IDEs, Code-Repositories, eine gefälschte mobile App und die Signierumgebung selbst. Sobald ein Angreifer kontrolliert, was der Entwickler sieht, kann er jede Transaktion manipulieren, bevor sie die Blockchain erreicht.

Pearls Empfehlung: Prä-Transaktions-Validierung auf Blockchain-Ebene, bei der Transaktionen unabhängig simuliert und verifiziert werden, bevor sie ausgeführt werden, unabhängig von der Oberfläche, die sie anzeigt. Das ist ein struktureller Wandel, kein Patch.

Die Annahme, die laut den von Drift in seinem Bericht genannten Experten sterben muss, ist die, dass der Endpunkt sicher sei. Das ist er nicht. Nicht mehr.

Wenn diese grundlegenden Tools anfällig sind, kann alles, was dem Benutzer angezeigt wird, einschließlich Transaktionen, manipuliert werden. Das untergräbt grundlegend die traditionellen Sicherheitsannahmen.

— Security expert cited in Drift incident report
  • Bösartiges Code-Repository, das von den Bedrohungsakteuren eingeschleust wurde
  • Gefälschte TestFlight-App zur Kompromittierung mobiler Signierumgebungen
  • VSCode/Cursor IDE-Schwachstelle, die stille Code-Ausführung ermöglichte
  • Telegram-Koordination und persönliche Konferenztreffen zum Vertrauensaufbau
  • Drittpartei-Mittelsmänner für persönliche Begegnungen eingesetzt, nicht nordkoreanische Staatsangehörige direkt

Häufig gestellte Fragen

Was ist der Drift Protocol Hack?

Der Drift Protocol Hack bezeichnet einen $285 Millionen schweren Exploit der auf Solana basierenden dezentralen Börse im April 2026. Mit mittlerer bis hoher Konfidenz der nordkoreanischen staatsnahen Gruppe UNC4736 zugeschrieben, folgte der Angriff auf eine sechs Monate dauernde Infiltrationskampagne mit gefälschten Identitäten, Konferenztreffen und bösartigen Entwickler-Tools.

Wer ist UNC4736, die nordkoreanische Hackergruppe?

UNC4736 ist eine nordkoreanische staatsnahe Bedrohungsgruppe, die auch als AppleJeus und Citrine Sleet geführt wird. Die Gruppe ist bekannt für langfristig angelegte Social-Engineering-Angriffe auf Krypto-Protokolle. Mandiant hatte UNC4736 zuvor mit dem Radiant Capital Hack von 2024 in Verbindung gebracht, bei dem etwa $50 Millionen von der Lending-Plattform abgezogen wurden.

Wie konnten die Drift-Hacker sechs Monate lang unentdeckt bleiben?

Die Angreifer gaben sich als legitime quantitative Handelsfirma aus, besuchten große Krypto-Konferenzen, führten ausgedehnte Telegram-Gespräche mit Mitwirkenden, integrierten einen Ecosystem Vault auf Drift und hinterlegten $1 Million eigenes Kapital. Als der Exploit ausgeführt wurde, waren alle Chat-Verläufe und Malware vollständig bereinigt.

Reichen Multisig-Wallets aus, um diese Art von Hack zu verhindern?

Laut den im Drift-Vorfallsbericht zitierten Sicherheitsexperten reichen Multisig-Wallets nicht mehr aus. Angreifer kompromittieren inzwischen, was Unterzeichner sehen, bevor sie signieren. Das bedeutet, dass die Transaktionsabsicht allein über die Benutzeroberfläche nicht mehr verifiziert werden kann. Prä-Transaktions-Validierung auf Blockchain-Ebene ist die empfohlene Verteidigungsmaßnahme.