**Drift Protocol** bestätigte, dass Angreifer während eines Sicherheitsvorfalls am 1. April 2026 rund 285 Millionen US-Dollar von der Plattform abgezogen haben. ### Details zum Angriff Laut **Drift** erlangte ein bösartiger Akteur unbefugten Zugriff durch einen neuartigen Angriff, der "durable nonces" nutzte und zu einer schnellen Übernahme der administrativen Befugnisse des Sicherheitsrats führte. Das Unternehmen beschrieb es als eine hoch entwickelte Operation, die mehrwöchige Vorbereitung und gestaffelte Ausführung beinhaltete, einschließlich der Verwendung von "durable nonce"-Konten zur Vorabsignierung von Transaktionen mit verzögerter Ausführung. **Drift** betonte, dass der Angriff keine Schwachstelle in seinen Programmen oder Smart Contracts ausnutzte und es keine Hinweise auf kompromittierte Seed-Phrasen gibt. Stattdessen beinhaltete der Einbruch unbefugte oder falsch dargestellte Transaktionsgenehmigungen, die vor der Ausführung eingeholt wurden, wahrscheinlich erleichtert durch "durable nonce"-Mechanismen und ausgefeiltes Social Engineering. Die Angreifer erhielten ausreichende Multi-Signatur (Multisig)-Genehmigungen und führten eine bösartige Admin-Übertragung durch, um die Kontrolle über protokollweite Berechtigungen zu erlangen. Diese Kontrolle wurde dann genutzt, um ein bösartiges Asset einzuführen und alle voreingestellten Auszahlungslimits zu entfernen, was es den Angreifern ermöglichte, die vorhandenen Gelder abzuziehen. ### Zeitplan und Untersuchung **Drift**s Zeitplan zeigt, dass die Vorbereitungen für den Hack bereits am 23. März 2026 begannen. Das Unternehmen koordiniert sich mit mehreren Sicherheitsfirmen, um die Ursache des Vorfalls zu ermitteln, und arbeitet mit Bridges, Börsen und Strafverfolgungsbehörden zusammen, um die gestohlenen Vermögenswerte zu verfolgen und einzufrieren. Eine Analyse von **PIF Research Labs** ergab, dass die Vermögenswerte innerhalb von 10 Sekunden abgezogen wurden, wobei die wichtigsten Tresore in bemerkenswert kurzer Zeit geleert wurden. ### Nordkoreanische Verbindung Separate Berichte von **Elliptic** und **TRM Labs** deuten auf On-Chain-Indizien hin, dass nordkoreanische Krypto-Diebe hinter dem Raub stecken könnten. Zu diesen Indizien gehören die Verwendung von **Tornado Cash** für die anfängliche Vorbereitung, Cross-Chain-Bridging-Muster sowie die Geschwindigkeit und das Ausmaß der Geldwäsche nach dem Hack, die mit früheren Hacks übereinstimmen, die nordkoreanischen Akteuren zugeschrieben werden, einschließlich des **Bybit**-Exploits von 2025. **TRM Labs** hob hervor, dass die kritische Schwachstelle kein Smart-Contract-Bug war, sondern eine Kombination aus Social Engineering, bei dem Multisig-Unterzeichner dazu gebracht wurden, versteckte Autorisierungen vorab zu signieren, und einer "zero-timelock"-Migration des Sicherheitsrats. Der Angreifer stellte ein fiktives Asset her – den CarbonVote Token –, den **Drift**s Orakel als legitimes Collateral behandelten. Die Analyse von **Elliptic** stimmt mit bekannten Vorgehensweisen von Akteuren aus der Demokratischen Volksrepublik Korea (DVRK) überein. Sie stellen fest, dass dieser Vorfall die achtzehnte von der DVRK verfolgte Aktion seit Jahresbeginn darstellt, mit bisher über 300 Millionen US-Dollar gestohlen. Sie betonen, dass dies eine Fortsetzung der anhaltenden Kampagne der DVRK zur groß angelegten Entwendung von Krypto-Assets ist, die mit der Finanzierung ihrer Waffenprogramme verbunden ist, mit über 6,5 Milliarden US-Dollar an Krypto-Assets, die in den letzten Jahren gestohlen wurden. ### Social Engineering und anhaltende Bedrohungen Social Engineering bleibt der primäre anfängliche Zugangsweg, der überzeugende Personas und Köder nutzt, um den Kryptowährungs- und Web3-Sektor durch Kampagnen unter den Namen **DangerousPassword** und **Contagious Interview** ins Visier zu nehmen. Die kombinierten Gewinne aus diesen Kampagnen belaufen sich in diesem Jahr auf 37,5 Millionen US-Dollar. **Elliptic** warnt, dass die Weiterentwicklung der Social-Engineering-Techniken der DVRK in Kombination mit der zunehmenden Verfügbarkeit von KI die Bedrohung über Börsen hinaus erweitert und einzelne Entwickler, Projektmitarbeiter und alle mit Zugang zur Krypto-Asset-Infrastruktur ins Visier nimmt. Dieser Vorfall fällt auch mit der Kompromittierung der Lieferkette des beliebten Axios npm-Pakets zusammen, die einer nordkoreanischen Hackergruppe namens UNC1069 zugeschrieben wird, die mit BlueNoroff, CryptoCore, Nickel Gladstone, Sapphire Sleet und Stardust Chollima überlappt. Sicherheitsanbieter wie **Google**, **Microsoft**, **CrowdStrike** und **Sophos** haben diese Gruppe mit der Generierung von Einnahmen für das nordkoreanische Regime in Verbindung gebracht.