Laut einer von Drift veröffentlichten Chronologie begannen die Vorbereitungen für den Angriff bereits am 23. März 2026. Das Unternehmen spricht von einer hochentwickelten Operation mit mehrwöchiger Vorbereitung und gestaffelter Ausführung, bei der Durable-Nonce-Konten genutzt wurden, um Transaktionen vorab zu signieren und ihre Ausführung zu verzögern.
Die Täter erlangten nach Darstellung von Drift genügend Multisignatur-Freigaben und führten innerhalb weniger Minuten einen schädlichen Admin-Transfer aus, um die Kontrolle über die Berechtigungen auf Protokollebene zu erlangen. Diese nutzten sie, um einen schädlichen Vermögenswert einzuführen, sämtliche voreingestellten Abhebungslimits zu entfernen und so die vorhandenen Gelder anzugreifen.
In zwei separaten Berichten erklärten sowohl Elliptic als auch TRM Labs, On-Chain-Hinweise deuteten darauf hin, dass nordkoreanische Akteure hinter dem Diebstahl stehen könnten. Dazu zählten der Einsatz von Tornado Cash für die anfängliche Vorbereitung sowie Muster beim Cross-Chain-Bridging und die Geschwindigkeit und das Ausmaß der Geldwäsche nach dem Angriff – Merkmale, die mit früher Nordkorea zugeschriebenen Vorfällen übereinstimmen, darunter der Bybit-Exploit von 2025.
Laut TRM Labs lag die kritische Schwachstelle nicht in einem Smart-Contract-Fehler, sondern in einer Kombination aus Social Engineering: Multisig-Unterzeichner seien dazu gebracht worden, verborgene Autorisierungen vorab zu signieren, und eine Security-Council-Migration ohne Zeitsperre habe die letzte Verteidigungslinie des Protokolls beseitigt. Die Angreifer hätten einen vollständig fiktiven Vermögenswert namens CarbonVote Token erschaffen, mit einigen tausend Dollar Anfangsliquidität und Wash-Trading versehen, woraufhin Drifts Oracles ihn als legitime Sicherheit im Wert von Hunderten Millionen Dollar behandelt hätten. TRM Labs wies zudem darauf hin, dass der CarbonVote Token um 09:30 Uhr Pjöngjanger Zeit ausgerollt wurde.
Elliptic erklärte, das On-Chain-Verhalten, die Geldwäschemethoden und Indikatoren auf Netzwerkebene stimmten mit bekanntem Vorgehen von Akteuren aus der Demokratischen Volksrepublik Korea (DPRK) überein. Sollte sich der Verdacht bestätigen, wäre dies laut Elliptic der achtzehnte DPRK-Vorfall, den das Unternehmen seit Jahresbeginn verfolgt hat, mit bislang mehr als 300 Millionen Dollar entwendeter Werte. Elliptic verwies auf eine anhaltende Kampagne groß angelegter Kryptodiebstähle, die die US-Regierung mit der Finanzierung des nordkoreanischen Waffenprogramms in Verbindung bringt; DPRK-nahe Akteure sollen in den vergangenen Jahren über 6,5 Milliarden Dollar in Kryptowerten gestohlen haben.
Für 2025 wird die nordkoreanische Diebstahloperation auf einen Rekordwert von 2 Milliarden Dollar geschätzt, davon rund 1,46 Milliarden aus dem Bybit-Hack im Februar 2025. Als wichtigster Erstzugangsweg gilt weiterhin Social Engineering über überzeugende Personas und Köder, etwa in den als DangerousPassword (auch CageyChameleon, CryptoMimic, CryptoCore) und Contagious Interview verfolgten Kampagnen, deren kombinierte Erträge sich bis Ende Februar 2026 auf 37,5 Millionen Dollar belaufen.
Parallel dazu steht die Lieferketten-Kompromittierung des verbreiteten npm-Pakets Axios, die mehrere Sicherheitsanbieter – darunter Google, Microsoft, CrowdStrike und Sophos – einer nordkoreanischen Gruppe namens UNC1069 zuschreiben, die sich mit BlueNoroff, CryptoCore, Nickel Gladstone, Sapphire Sleet und Stardust Chollima überschneidet. Laut Sophos verweisen identische forensische Metadaten, Command-and-Control-Muster sowie Verbindungen zu ausschließlich von Nickel Gladstone genutzter Malware mit hoher Wahrscheinlichkeit auf diese Gruppe als Verantwortliche der Axios-Angriffe.
