**Drift Protocol** berichtet, dass der jüngste Hack im Wert von über 280 Millionen US-Dollar das Ergebnis einer langfristigen Operation war, die die Etablierung einer "funktionierenden operativen Präsenz innerhalb des **Drift**-Ökosystems" beinhaltete. Am 1. April stellte die Plattform ungewöhnliche Aktivitäten fest und bestätigte den Verlust von Geldern durch einen hochentwickelten Angriff, der die administrativen Befugnisse des Sicherheitsrats kapert. Blockchain-Intelligence-Firmen **Elliptic** und **TRM Labs** schreiben den Diebstahl nordkoreanischen Hackern zu, die Benutzervermögen Berichten zufolge in etwa 12 Minuten abgezogen haben. Die Untersuchung ergab, dass die Hacker den Angriff mindestens sechs Monate lang vorbereitet hatten und sich als Vertreter einer quantitativen Firma ausgaben. Sie näherten sich **Drift**-Mitwirkenden persönlich auf verschiedenen Krypto-Konferenzen. "Es wird nun verstanden, dass dies ein gezielter Ansatz zu sein scheint, bei dem Einzelpersonen aus dieser Gruppe über die folgenden sechs Monate hinweg gezielt bestimmte **Drift**-Mitwirkende persönlich auf mehreren großen Branchenkonferenzen in mehreren Ländern aufsuchten und kontaktierten", so das Unternehmen. Die Bedrohungsakteure kommunizierten über **Telegram** mit ihren Zielen und diskutierten Handelsstrategien und potenzielle Vault-Integrationen. Sie zeigten technische Kompetenz und Vertrautheit mit den Abläufen von **Drift** und ahmen typische Onboarding-Austausche zwischen Handelsfirmen und der Plattform nach. Die für die Kontaktaufnahme mit den Mitwirkenden genutzte **Telegram**-Gruppe wurde unmittelbar nach dem Diebstahl gelöscht. ### Angriffsvektoren **Drift** geht davon aus, dass zwei Mitwirkende kompromittiert wurden durch: * Ein bösartiges Code-Repository, das mit einem Mitwirkenden geteilt wurde und potenziell eine **VSCode**/Cursor-Schwachstelle ausnutzte, die eine stille Codeausführung ermöglichte. * Eine bösartige **TestFlight**-Anwendung, die als Wallet-Produkt präsentiert wurde. ### Zuschreibung Untersuchungen von **Elliptic** und **TRM Labs** deuten stark auf die Beteiligung eines nordkoreanischen Bedrohungsakteurs hin. Die Erkenntnisse von **Drift** deuten ebenfalls mit mittlerer bis hoher Zuversicht darauf hin, dass der Angriff von **UNC4736** (auch bekannt als **AppleJeus** und **Labyrinth Chollima**) verübt wurde, einem Bedrohungsakteur, der von mehreren Sicherheitsfirmen zuvor mit Nordkorea in Verbindung gebracht wurde. **Mandiant** hat **UNC4736** mit **Lazarus** in Verbindung gebracht. Diese Gruppe wird auch für den **3CX**-Supply-Chain-Angriff im Jahr 2023, den **Radiant**-Kryptowährungsdiebstahl im Wert von 50 Millionen US-Dollar im Jahr 2024 und die Ausnutzung von **Chrome**-Zero-Days verantwortlich gemacht. Bemerkenswerterweise waren die Personen, die sich auf Konferenzen mit **Drift**-Mitwirkenden trafen, nicht-koreanische Vermittler. ### Aktueller Status Alle Funktionen von **Drift Protocol** sind derzeit eingefroren, und die kompromittierten Wallets wurden aus dem Multisig-Prozess entfernt. **Drift** hat die Wallets der Angreifer bei Börsen und Brückenbetreibern markiert, um die Bewegung oder den Abzug der gestohlenen Gelder zu verhindern.