Die Details des Angriffs offenbaren ein beunruhigendes Muster gezielter Infiltration. Die Hacker präsentierten sich als legitimes Quantitativ-Trading-Unternehmen und bauten über Monate hinweg persönliche Beziehungen zu Drift-Beitragenden auf. Sie nutzten Telegram zur fortlaufenden Kommunikation, diskutierten angeblich Handelsstrategien und mögliche Vault-Integrationen – eine täuschend authentische Fassade, die typischen Onboarding-Gesprächen zwischen Handelsplattformen und neuen Akteuren ähnelte.
Die Blockchain-Intelligence-Firmen Elliptic und TRM Labs ordneten den Angriff der Gruppe UNC4736 zu, die auch unter den Namen AppleJeus und Labyrinth Chollima bekannt ist. Sicherheitsexperten verbinden diese Gruppe mit nordkoreanischen Staatsakteuren und insbesondere mit der gefürchteten Lazarus-Gruppe. Diese Akteure sind bereits für zahlreiche hochprofessionelle Cyberattacken verantwortlich: den Supply-Chain-Angriff auf 3CX im Jahr 2023, den 50-Millionen-Dollar-Diebstahl von Radiant im Jahr 2024 und Exploits von Chrome-Sicherheitslücken.
Ein wichtiges Detail: Während die nordkoreanische Attribution fest steht, waren die physischen Intermediäre, die auf den Konferenzen tätig wurden, nicht selbst Nordkoreaner. Dies deutet auf eine ausgefeilte Operational-Security-Struktur hin. Die genaue Kompromittierungsmethode ist noch nicht vollständig aufgeklärt, doch Drift geht davon aus, dass mindestens zwei Mitwirkende durch die systematische Social-Engineering-Kampagne infiltriert wurden.
Nach der Attacke handelte Drift schnell: Das Protokoll sperrte alle Funktionen ein, entfernte die kompromittierten Wallets aus dem Multisig-Prozess und arbeitet mit Börsen und Bridge-Operatoren zusammen, um die gestohlenen Gelder zu blockieren. Die Telegram-Gruppe, die für die Infiltration genutzt wurde, wurde sofort nach dem Diebstahl gelöscht – ein klassisches Zeichen für bewusste Spurenvernichtung.
Dieser Fall verdeutlicht ein fundamentales Sicherheitsrisiko in der Kryptobranche: Die Kombination von technischer Raffinesse mit persönlicher Manipulation ist oft schwerer zu durchbrechen als reine Cybersicherheitsmaßnahmen. Für deutsche Unternehmen und Investoren im Blockchain-Bereich ist dies ein Weckruf für verbesserte Verifizierungsprozesse und Vorsicht bei Kontakten auf Branchenkonferenzen.