CyberkriminalitätHackerangriffeCloud-Sicherheit

280 Millionen Dollar Diebstahl: Nordkorea soll hinter Drift-Hack stecken

280 Millionen Dollar Diebstahl: Nordkorea soll hinter Drift-Hack stecken
Zusammenfassung

Die dezentrale Finanzplattform Drift ist Opfer eines massiven Cyberangriffs geworden, bei dem Hacker 280 Millionen US-Dollar gestohlen haben. Der Angriff fand am 1. April statt, basierte jedoch auf einer mehrwöchigen Vorbereitung und erfolgte durch eine neuartige Methode: Die Angreifer verschafften sich Zugang zu administrativen Genehmigungsprozessen der Plattform durch Social Engineering und manipulierten dann vorab signierte Transaktionen. Besonders bemerkenswert ist, dass Sicherheitsexperten des Unternehmens Elliptic die Attacke nordkoreanischen Hackern zuordnen, was den Verdacht verstärkt, dass Pjöngjang systematisch Kryptowährungen als Finanzierungsquelle für sein Militärprogramm nutzt. Dies ist bereits die 18. bekannte nordkoreanische Cyberoperation in diesem Jahr mit insgesamt über 300 Millionen Dollar erbeutet. Für deutsche Nutzer und Unternehmen ist dieser Vorfall relevant, da er die Risiken dezentraler Finanzplattformen unterstreicht und zeigt, wie ausgefeilte staatliche Akteure auch gegen etablierte Sicherheitsstrukturen vorgehen können. Deutsche Behörden sollten diesen Fall als Warnsignal für die wachsende Bedrohung durch nordkoreanische Cyberkriminelle verstehen.

Die Drift Protocol hat in einem Krisenstatement zugegeben, dass Angreifer 280 Millionen Dollar vom Protokoll abgezogen haben. Das Unternehmen beschreibt den Vorfall als hochgradig sophistiziert und arbeitete offenbar über mehrere Wochen hinweg. Zwei vorab signierte Transaktionen wurden am 1. April nach einem Initial Setup am 23. März ausgeführt.

Drift betont, dass kein Fehler in seinen Smart Contracts oder Programmen vorlag. Stattdessen konzentriert sich die Analyse auf “unbefugte oder falsch dargestellte Transaktionsgenehmigungen”, die durch ausgefeiltes Social Engineering erworben wurden. Die Angreifer erlangten Kontrolle über den Security Council und konnten damit voreingestellte Auszahlungslimits aufheben.

Die Plattform arbeitet nach eigenen Angaben mit mehreren Sicherheitsfirmen, Börsen, Brücken und Strafverfolgungsbehörden zusammen, um die gestohlenen Assets aufzuspüren und einzufrieren.

Experten deuten auf Nordkorea hin: Die Blockchain-Sicherheitsfirma Elliptic identifizierte am Donnerstagmorgen mehrere Indikatoren, die auf ein DPRK-Attentat (Demokratische Volksrepublik Korea) hindeuken. “Das On-Chain-Verhalten, die Geldwäsche-Methodologien und netzwerkgestützte Indikatoren entsprechen Techniken aus vorherigen DPRK-zugeordneten Operationen,” erklärte Elliptic. Falls bestätigt, wäre dies das 18. DPRK-Attentat, das Elliptic 2024 verfolgt.

Andere Forscher bestätigten diese Einschätzung unabhängig und verwiesen auf Ähnlichkeiten mit dem 1,5-Milliarden-Dollar-Hack der Krypto-Börse Bybit im Sommer 2023.

Diese Zuordnung passt in ein größeres Bild: Nordkorea hat sich als größte Kraft bei Krypto-Diebstählen etabliert und soll 2023 über 2 Milliarden Dollar erbeutet haben. Die USA werfen Pjöngjang vor, diese Gelder zur Finanzierung von Waffenprogrammen zu nutzen.

Zusätzlich wurde Nordkorea kürzlich auch für die Kompromittierung der npm-Bibliothek axios verantwortlich gemacht — ein Angriff, den Microsoft und CrowdStrike bestätigt haben. Die Bibliothek wird in Front-End- und Back-End-Systemen weltweit verwendet.

Die Drift-Vorfälle unterstreichen ein wachsendes Risiko für Krypto-Nutzer und institutionelle Investoren: Während Technik-Security oft robust ist, bleiben Social Engineering und Penetration der Verwaltungsprozesse wirksame Angriffsvektor.

Ähnliche Artikel