Die Attacke auf Drift Protocol war hochgradig organisiert und zeitlich präzise abgestimmt. Blockchain-Analysten identifizierten mehrere Merkmale, die typisch für nordkoreanische Cyberkriminelle sind: die Nutzung von Tornado Cash zur Geldwäsche, das Timing des CarbonVote-Einsatzes um 09:30 Uhr Pjöngjang-Zeit, spezifische Cross-Chain-Bridging-Muster und großflächige Waschmechanismen, wie sie beim Bybit-Hack zum Einsatz kamen.
Die technische Vorgehensweise offenbart die Ausgefeilheit der Täter. Zwischen dem 23. und 30. März bereiteten die Angreifer ihre Operation vor. Sie erstellten manipulierte Nonce-Accounts und sicherten sich 2 von 5 erforderlichen Multisig-Genehmigungen von Security-Council-Mitgliedern. Dies ermöglichte ihnen, bösartige Transaktionen im Voraus zu signieren, ohne sie sofort auszuführen — ein Warteschlangen-Taktik, um die Erkennung zu erschweren.
Am 1. April führte der Angreifer zunächst eine legitime Transaktion durch und aktivierte danach unmittelbar die vorbereiteten schadhaften Transaktionen. Innerhalb weniger Minuten gelang es ihm, die Admin-Kontrolle an sich zu bringen. Mit dieser Macht führte er ein bösartiges Asset ein, entfernte Abhebungslimits und leitete letztendlich die Gelder ab.
Drift Protocol bestätigte Verluste von etwa 280 Millionen Dollar, während die Blockchain-Analyse-Plattform PeckShieldAlert diese auf 285 Millionen Dollar beziffert. Das Unternehmen betont, dass kein Code-Fehler oder Smart-Contract-Schwachstelle existierte — die Angreifer exploitierten ausschließlich die Verwaltungsstruktur.
Nach Erkennung der verdächtigen Aktivität warnte Drift öffentlich alle Nutzer und forderte sie auf, keine neuen Gelder einzuzahlen. Nun sind Darlehensfunktionen, Vault-Deposits und Handelsgelder blockiert. Drift arbeitet mit Sicherheitsfirmen, Kryptobörsen und Behörden zusammen, um die gestohlenen Mittel nachzuverfolgen und einzufrieren. Eine detaillierte Analyse ist für die kommenden Tage angekündigt.