Hack des Drift Protocol
Der Mitgründer von Solana, Anatoly Yakovenko, hat den kürzlichen Hack des Drift Protocol als „erschreckend“ bezeichnet, nachdem bekannt wurde, dass er das Ergebnis eines ausgeklügelten Social Engineering-Angriffs war, der von nordkoreanischen Hackern durchgeführt wurde.
Wie von U.Today berichtet, wurde das Drift Protocol kürzlich um 270 Millionen Dollar erleichtert, was den größten Hack innerhalb des Solana-Ökosystems darstellt. Das Protokoll sah sich gezwungen, alle Einzahlungen und Abhebungen zu stoppen und warnte die Nutzer ausdrücklich, dass der Vorfall kein Aprilscherz war.
Details des Angriffs
Der Bericht, der kürzlich vom Drift Protocol veröffentlicht wurde, hat offenbart, dass die Übeltäter hinter diesem historischen Hack die Entwickler im echten Leben physisch verfolgt und sozial manipuliert haben. Dies erforderte alarmierende Geduld und Ressourcen.
Es wird stark vermutet, dass die Operation das Werk einer mit dem nordkoreanischen Staat verbundenen Bedrohungsgruppe ist. Ab Ende 2025 näherten sich Dritte, die keine nordkoreanischen Staatsangehörigen waren, den Drift-Beitragsleistenden auf großen Krypto-Konferenzen.
Die Angreifer, die über nachweisbare berufliche Hintergründe und technische Sprachkenntnisse verfügten, gaben sich als quantitative Handelsfirma aus, die mit dem Protokoll zusammenarbeiten wollte. Die gefälschte Handelsfirma integrierte zwischen Dezember 2025 und Januar 2026 einen Ecosystem Vault auf Drift und hinterlegte mehr als 1 Million Dollar eigenes Kapital.
Die Angreifer hatten es geschafft, diese Illusion über ein halbes Jahr aufrechtzuerhalten. Sie arbeiteten eng mit den Drift-Beitragsleistenden durch mehrere Arbeitssitzungen zusammen und trafen sie persönlich auf verschiedenen internationalen Konferenzen bis Februar und März 2026.
Vertrauensvolle Beziehungen und Exploit
Bis April hatten die Angreifer erfolgreich eine vertrauensvolle Geschäftsbeziehung aufgebaut. Die Drift-Beitragsleistenden verdächtigten kein Fehlverhalten, als die Gruppe Links zu Projekten teilte, von denen sie behaupteten, sie zu entwickeln.
Ein Beitragender klonte ein von den Angreifern geteiltes Code-Repository, das wahrscheinlich eine bekannte Schwachstelle betraf, die die VSCode– und Cursor-Texteditoren betraf. Ein zweiter Beitragender wurde überzeugt, eine gefälschte TestFlight-Anwendung herunterzuladen.
Nach dem erfolgreichen Exploit löschten die Angreifer alle ihre Telegram-Chats und entfernten die bösartige Software.
