Die Drift-Börse bestätigte, dass die Attacke einer mehrstufigen Vorbereitung bedurfte. Erste Vorbereitungen begannen bereits am 23. März 2026, bevor die Täter am 1. April schließlich zuschlugen. Das Bemerkenswerte: Statt technische Schwachstellen auszunutzen, verwendeten die Angreifer eine Kombination aus präsignierten Transaktionen mit verzögerter Ausführung und massiver sozialer Manipulation. Sie täuschten die Multisig-Unterzeichner vor, legitime Administrative zu genehmigen, während diese in Wirklichkeit versteckte Autorisierungen freigaben.
Nachdem sie die erforderlichen Genehmigungen eingeholt hatten, führten die Täter innerhalb von Minuten einen bösartigen Admin-Transfer aus. Danach introduzierten sie einen gefälschten Token — das “CarbonVote Token” — mit bereits vorgefälschter Liquidität und Wash-Trading-Aktivitäten. Drifts Preis-Orakel behandelten diesen Token als legitimes Sicherheitsmittel im Wert von Hunderten von Millionen Dollar. Die Täter hoben dann einfach alle Auszahlungslimits auf und plünderten die Gelder.
Die Sicherheitsfirmen Elliptic und TRM Labs identifizierten mehrere Indikatoren, die auf nordkoreanische Akteure deuten: Die Verwendung von Tornado Cash zur Geldwäsche, das Muster der Kettenbrücken-Nutzung und die beispiellose Geschwindigkeit und das Ausmaß der Mittelabzweigung entsprechen bekannten Mustern, die dem Bybit-Exploit von 2025 ähneln.
Besonders aufschlussreich: Das CarbonVote-Token wurde um 09:30 Uhr Pjöngjang-Zeit bereitgestellt — ein Detail, das geografische Hinweise auf die Täter liefert. Elliptic zufolge wäre dies bereits der achtzehnte bestätigte Anschlag nordkoreanischer Akteure in diesem Jahr, mit Gesamtschäden von über 300 Millionen Dollar. Der Kontext ist alarmierend: Nordkorea soll 2025 einen Rekord von 2 Milliarden Dollar in Kryptowährungen gestohlen haben, davon allein 1,46 Milliarden aus dem Bybit-Hack.
Das perfide: Die primäre Angriffsmethode bleibt Social Engineering. Kampagnen wie “DangerousPassword” und “Contagious Interview” zielten bislang auf Kryptobörsen ab, doch die Bedrohung wächst. Mit fortschreitendem KI-Einsatz könnten künftig auch Einzelentwickler, Projektmitarbeiter und Infrastruktur-Manager ins Visier geraten.
Parallel zeigt sich die Gefahr im Mainstream: Der npm-Axios-Paket-Sabotage wird die nordkoreanische Gruppe UNC1069 zugeordnet. Diese staatlich geförderte Einheit verdient direkt für das Regime. Das macht deutlich: Nordkoreas Cyberkriminalität ist organisiert, skaliert und betrifft nicht nur die Kryptobranche.