Drift Protocol hat Details zu seinem Exploit vom 01.04.2026 offengelegt und einen koordinierten Angriff beschrieben, der über sechs Monate aufgebaut wurde. Die dezentralisierte Börse erklärte, dass der Verstoß auf persönliche Treffen, technisches Engagement und die Verbreitung bösartiger Software folgte. Der Vorfall, der am 01. April auftrat, betraf kompromittierte Mitwirkende und führte zu geschätzten Verlusten von fast 280 Millionen US-Dollar.
Drift Protocol verfolgt langfristiges Social Engineering
In einem X-Artikel erklärte Drift Protocol, dass der Angriff etwa im Oktober 2025 auf einer großen Krypto-Konferenz begann. Laut Drift Protocol traten Personen, die sich als quantitatives Handelsunternehmen ausgaben, an Mitwirkende heran und suchten eine Integration.
Die Interaktion endete jedoch nicht dort. Die Gruppe engagierte sich über sechs Monate hinweg mit Mitwirkenden auf mehreren globalen Branchenkonferenzen. Sie präsentierten verifizierte berufliche Hintergründe und zeigten technische Kompetenz während wiederholter persönlicher Treffen.
Außerdem bildeten sie nach dem ersten Kontakt eine Telegram-Gruppe. Im Laufe der Zeit diskutierten sie Handelsstrategien und potenzielle Vault-Integrationen mit Mitwirkenden. Diese Diskussionen folgten den Standard-Onboarding-Mustern für Handelsunternehmen, die mit Drift Protocol interagieren.
Von Dezember 2025 bis Januar 2026 integrierte die Gruppe ein Ökosystem-Vault. Sie reichten Strategiedetails ein und hinterlegten über 1 Million US-Dollar im Protokoll. In der Zwischenzeit führten sie Arbeitssitzungen durch und stellten detaillierte Produktfragen.
Kompromittierung mit gemeinsam genutzten Tools und Gerätezugriff verbunden
Als die Integrationsgespräche im Februar und März 2026 fortschritten, vertiefte sich das Vertrauen. Mitwirkende trafen die Gruppe erneut bei Branchenveranstaltungen und stärkten bestehende Beziehungen. Drift Protocol identifizierte diese Interaktionen jedoch später als den wahrscheinlichen Angriffsvektor.
Laut Drift Protocol teilten Angreifer während der Zusammenarbeit bösartige Repositories und Anwendungen. Dies steht in völligem Gegensatz zu ZachXBTs Kritik an Circle wegen der Verzögerung beim 280-Millionen-Dollar-Exploit. Ein Mitwirkender klonte Berichten zufolge ein Code-Repository, das als Frontend-Deployment-Tool präsentiert wurde.
Quelle: Arkham
Ein anderer Mitwirkender lud eine TestFlight-Anwendung herunter, die als Wallet-Produkt beschrieben wurde. Diese Aktionen setzten Geräte potenziell einer Kompromittierung aus. Für den Repository-Vektor verwies Drift Protocol auf eine bekannte Schwachstelle in VSCode und Cursor.
Von Dezember 2025 bis Februar 2026 konnte das Öffnen von Dateien zu stiller Codeausführung ohne Warnungen führen. Nach dem Exploit führte Drift Protocol forensische Überprüfungen auf betroffenen Geräten und Konten durch. Bemerkenswerterweise wurden die Kommunikationskanäle der Angreifer und Malware unmittelbar nach der Ausführung gelöscht.
Zuordnung und laufende Ermittlungsbemühungen
Drift Protocol erklärte, dass es nach der Entdeckung des Exploits alle Protokollfunktionen eingefroren hat. Es entfernte auch kompromittierte Wallets aus seiner Multisig-Struktur und markierte Angreifer-Wallets über Börsen und Brücken. Das Unternehmen beauftragte Mandiant mit der Unterstützung der Untersuchung. In der Zwischenzeit trug SEALs 911 eine Analyse bei, die auf eine bekannte Bedrohungsgruppe hinwies.
Mit mittlerer bis hoher Zuversicht verband die dezentralisierte Börse den Angriff mit Akteuren hinter dem Radiant Capital-Hack vom Oktober 2024. Diese Operation wurde zuvor UNC4736 zugeschrieben, auch bekannt als AppleJeus oder Citrine Sleet.
Drift Protocol stellte klar, dass die an persönlichen Treffen beteiligten Personen keine nordkoreanischen Staatsangehörigen waren. Stattdessen stellte es fest, dass solche Operationen häufig Drittanbieter-Vermittler für persönliche Kontakte nutzen.
Laut ZachXBT spiegelt die Aktivität bekannte DPRK-verbundene Cyberoperationen wider, die oft unter dem Lazarus-Dach zusammengefasst werden. Er erklärte, dass Lazarus sich auf eine Gruppe von Hacking-Einheiten bezieht, während DPRK die staatliche Zugehörigkeit hinter diesen Operationen anzeigt. Er bemerkte, dass solche Gruppen geschichtete Identitäten, Vermittler und langfristigen Zugangsaufbau nutzen, bevor sie Angriffe ausführen.
Quelle: ZachXBT
ZachXBT fügte hinzu, dass On-Chain-Geldflüsse, die mit dem Exploit verbunden sind, Überschneidungen mit Wallets zeigen, die mit früheren DPRK-assoziierten Vorfällen verbunden sind, einschließlich Radiant Capital. Er hob auch operative Ähnlichkeiten hervor, einschließlich inszenierter Interaktionen, Malware-Verteilung über vertrauenswürdige Kanäle und schneller Bereinigung nach der Ausführung.
Drift Protocol betonte, dass alle Multi-Unterschriften-Unterzeichner während des Vorfalls Cold Wallets verwendeten. Es arbeitet weiterhin mit Strafverfolgungsbehörden und forensischen Partnern zusammen, um die Untersuchung abzuschließen.
Quelle: https://coingape.com/drift-hack-update-protocol-shares-latest-security-update-on-april-1-exploit/
