Drift Protocol, eine dezentrale Kryptowährungsbörse (DEX), gibt an, dass der jüngste Exploit gegen die Plattform ein sechsmonatiger, hochkoordinierter Angriff war.
„Die vorläufige Untersuchung zeigt, dass Drift eine strukturierte Geheimdienstoperation erlebt hat, die organisatorische Unterstützung, erhebliche Ressourcen und monatelange gezielte Vorbereitung erforderte“, teilte Drift am Samstag in einem X-Beitrag mit.
Die dezentrale Börse wurde am Mittwoch angegriffen, wobei externe Schätzungen die Verluste auf rund 280 Millionen US-Dollar beziffern.
Laut Drift lässt sich der Angriffsplan auf etwa Oktober 2025 zurückverfolgen, als böswillige Akteure, die sich als quantitatives Handelsunternehmen ausgaben, erstmals Drift-Mitarbeiter auf einer „großen Krypto-Konferenz“ ansprachen und behaupteten, an einer Integration mit dem Protokoll interessiert zu sein.
Die Gruppe setzte sich in den folgenden sechs Monaten persönlich auf mehreren Branchenveranstaltungen mit den Mitarbeitern in Verbindung. „Es ist nun klar, dass dies ein gezielter Ansatz zu sein scheint, bei dem Personen dieser Gruppe weiterhin gezielt bestimmte Drift-Mitarbeiter aufsuchten und ansprachen“, so Drift.
„Sie waren technisch versiert, hatten nachweisbare berufliche Hintergründe und waren mit der Funktionsweise von Drift vertraut“, sagte Drift.
Nachdem sie über sechs Monate hinweg Vertrauen und Zugang zum Drift Protocol gewonnen hatten, nutzten sie gemeinsam genutzte bösartige Links und Tools, um die Geräte der Mitarbeiter zu kompromittieren, den Exploit auszuführen und unmittelbar nach dem Angriff ihre Spuren zu verwischen.
Der Vorfall dient als Mahnung an die Teilnehmer der Krypto-Branche, selbst bei persönlichen Interaktionen vorsichtig und skeptisch zu bleiben, da Krypto-Konferenzen Hauptziele für hochentwickelte Bedrohungsakteure sein können.
Drift gab mit „mittel bis hoher Sicherheit“ an, dass der Exploit von denselben Akteuren durchgeführt wurde, die hinter dem Radiant Capital Hack im Oktober 2024 steckten.
Im Dezember 2024 teilte Radiant Capital mit, dass der Exploit durch Malware erfolgte, die über Telegram von einem mit Nordkorea verbundenen Hacker, der sich als ehemaliger Auftragnehmer ausgab, gesendet wurde.
„Diese ZIP-Datei lieferte, als sie zur Überprüfung unter anderen Entwicklern geteilt wurde, letztendlich Malware, die die spätere Intrusion erleichterte“, so Radiant Capital.
Drift betonte, es sei „wichtig zu beachten“, dass die persönlich aufgetretenen Personen „keine nordkoreanischen Staatsangehörigen“ waren.
Verwandt: Naoris lanciert Post-Quanten-Blockchain, während Quantensicherheitsrisiken Aufmerksamkeit gewinnen
„Bedrohungsakteure der DVRK, die auf diesem Niveau agieren, setzen bekanntermaßen Drittvermittler ein, um persönliche Beziehungsanbahnungen durchzuführen“, sagte Drift.
Drift erklärte, dass es mit Strafverfolgungsbehörden und anderen Akteuren der Krypto-Branche zusammenarbeite, um „ein vollständiges Bild dessen zu erhalten, was sich während des Angriffs vom 1. April ereignet hat.“
Magazin: Bitcoin 85%-Abstürze 'vorbei', Spekulationen über den CLARITY Act nehmen zu: Hodler’s Digest, 29. März – 4. April
