Wenn Hacker zu Kollegen werden: Einblick in die sechsmonatige nordkoreanische Operation, die 285 Mio. $ von Drift Protocol entwendete

Der 285-Millionen-Dollar-Raub dauerte 12 Minuten. Die Vorbereitung dauerte sechs Monate.

Als Angreifer das Drift Protocol — die größte DEX für Perpetual Futures auf Solana — am 1. April 2026 um 16:05 Uhr UTC leerten, nutzten sie keinen Fehler im Smart Contract aus, manipulierten kein Orakel und brachen keine Kryptographie. Sie reichten lediglich zwei Transaktionen ein, die der eigene Sicherheitsrat des Protokolls bereits unterzeichnet hatte. Vier Monate zuvor, im Dezember 2025, waren dieselben Angreifer als „quantitative Handelsfirma“ durch die Vordertür von Drift eingetreten, hatten über 1 Million Dollar ihres eigenen Kapitals hinterlegt, an Arbeitssitzungen mit Mitwirkenden teilgenommen und dem Team auf Branchenkonferenzen auf mehreren Kontinenten die Hand geschüttelt. Sie waren keine Fremden, keine bösartigen URLs oder anonymen Wallet-Adressen. Sie waren Kollegen.

Dies ist das neue Gesicht des gefährlichsten Gegners der Kryptowelt, und es sollte jede Annahme in Frage stellen, die DeFi über seine eigene Verteidigung getroffen hat. Die nordkoreanischen Akteure hinter dem Drift-Exploit — höchstwahrscheinlich TraderTraitor / UNC4736, derselbe Ableger der Lazarus-Gruppe, der mit dem 1,5-Milliarden-Dollar-Diebstahl bei Bybit in Verbindung gebracht wird — mussten weder die Audits, die Governance noch das Multisig von Drift besiegen. Sie mussten lediglich geduldig genug sein, um Vertrauen zu gewinnen.

Der 12-Minuten-Raub, dessen Vorbereitung sechs Monate dauerte

Die On-Chain-Beweise lesen sich wie ein Krimi. Laut dem Incident-Post-Mortem von Drift und der forensischen Rekonstruktion von BlockSec bauten die Angreifer ihre Tarnung Ende 2025 auf, indem sie einen „Ecosystem Vault“ auf Drift einrichteten, Dokumentationen zu Handelsstrategien einreichten und an mehreren Arbeitssitzungen mit den Mitwirkenden des Protokolls teilnahmen. Im Februar und März 2026 trafen sich Drift-Teammitglieder mit ihren Gegenübern persönlich auf großen Branchenkonferenzen. Zum Zeitpunkt des Angriffs war die Beziehung fast sechs Monate alt — weit über der Schwelle, an der die meisten Sicherheitsteams aufhören, einen Partner als Außenstehenden zu prüfen.

Die technische Ausführung nutzte ein spezifisches Solana-Primitiv: Durable Nonces. Im Gegensatz zu Ethereum, wo jede Transaktion auf einen aktuellen Blockhash verweisen muss und innerhalb von ca. 150 Slots abläuft, ermöglichen es Solanas Durable Nonces den Nutzern, heute Transaktionen zu signieren, die Tage oder Wochen später gesendet werden können. Diese Funktion ist für Offline-Signaturen, geplante Auszahlungen und Treasury-Workflows konzipiert — Komfortfunktionen, die in den Händen geduldiger Gegner zu einer Zeitbombe werden.

Am 23. März 2026 erschienen vier Durable-Nonce-Konten On-Chain — zwei verknüpft mit Mitgliedern des Drift-Sicherheitsrats, zwei kontrolliert vom Angreifer. Zu diesem Zeitpunkt hatten bereits zwei von fünf Ratsunterzeichnern harmlos aussehende Transaktionen gebilligt, die mit diesen Nonces verknüpft waren. Mit einer Schwelle von 2-aus-5 hatte der Angreifer bereits die erforderlichen Genehmigungen gesammelt, um die Admin-Kontrolle zu übernehmen. Eine geplante Ratsmigration am 27. März machte diese Signaturen kurzzeitig ungültig, aber bis zum 30. März erschien ein neues Durable-Nonce-Konto, das mit einem Mitglied des neuen Multisigs verknüpft war — der Angreifer hatte die Schwelle unter der neuen Konfiguration einfach erneut gesammelt.

Dann kam der 1. April. Um 16:05:18 Uhr UTC schlug die erste vorunterzeichnete Transaktion die Übertragung des Admin-Schlüssels vor. Eine Sekunde später genehmigte die zweite vorunterzeichnete Transaktion diese. Der Sicherheitsrat hatte seine eigenen Schlüssel effektiv Monate zuvor weggegeben, ohne jemals zu realisieren, zu welcher Sequenz die Transaktionen später kombiniert werden würden.

Durable Nonces plus soziales Vertrauen ergeben eine neue Klasse von Governance-Risiken

Der Drift-Vorfall wird unter „Multisig-Kompromittierung“ verbucht, aber diese Bezeichnung unterschätzt, was tatsächlich schiefgelaufen ist. Multisig-Governance setzt voraus, dass das Erreichen einer Schwelle von Signaturen entweder die Kompromittierung verschiedener Schlüssel (schwer) oder die Koordinierung verschiedener Menschen zur Genehmigung derselben bösartigen Aktion (sehr schwer) erfordert. Durable Nonces lassen die zweite Annahme zusammenbrechen: Unterzeichner können getäuscht werden, Fragmente eines Angriffs Transaktion für Transaktion im Abstand von Wochen zu genehmigen, ohne sich bewusst zu sein, dass ihre einzelnen Signaturen schließlich zu einer einzigen fatalen Sequenz zusammengefügt werden.

Dies ist das, was BlockSec eine Transaktions-Intent-Lücke nennt: Wallets und Signing-UIs zeigen den Unterzeichnern an, welche Bytes sie signieren, aber selten die vollen semantischen Auswirkungen dessen, was diese Bytes bewirken, sobald sie mit anderen Signaturen kombiniert werden, die der Angreifer kontrolliert. Die traditionelle Verteidigung — „mehr Unterzeichner, Hardware-Wallets, sorgfältige Prüfung“ — behebt das zugrunde liegende Problem nicht, da jeder einzelne Unterzeichner korrekt gehandelt hat. Das System als Ganzes ist dennoch gescheitert.

Schlimmer noch: Der Angreifer musste keinen Schlüssel eines Unterzeichners kompromittieren. Einen vielbeschäftigten Mitwirkenden durch Phishing oder Social Engineering dazu zu bringen, eine harmlos aussehende Durable-Nonce-Transaktion zu genehmigen, ist wesentlich einfacher, als den Seed eines Hardware-Wallets zu stehlen. Wie ein Drift-Insider DL News nach dem Vorfall sagte, ist die Lektion für DeFi unangenehm: „Wir müssen reifer werden, oder wir verdienen es nicht, die Zukunft des Finanzwesens zu sein.“

Lazarus' Kehrtwende: Vom Blitzüberfall zur langfristigen Implantierung

Um zu verstehen, warum der Drift-Angriff über Drift hinaus von Bedeutung ist, muss man sich die Entwicklung der Krypto-Operationen Nordkoreas ansehen.

Im Jahr 2025 stahlen Akteure der DVRK [ $2,02 Milliarden in über 30 Vorfällen ](https://thehackernews.com/2025/12/north-korea-linked-hackers-steal-202.html) – was 76$ 6,75 Milliarden trieb. Der prägende Vorfall jenes Jahres war der Bybit-Diebstahl in Höhe von $ 1,5 Milliarden im Februar 2025 , der bis heute größte Krypto-Raub aller Zeiten. Beim Bybit-Angriff wurde eine bösartige JavaScript-Injektion verwendet, die über den kompromittierten Rechner eines Safe{Wallet}-Entwicklers eingeschleust wurde – eine ausgeklügelte Supply-Chain-Technik, die jedoch extern blieb: Die Angreifer standen nie auf der Gehaltsliste von Bybit, nahmen nie an deren Meetings teil und bauten nie Beziehungen zum Team auf.

Vergleichen Sie das mit 2026. KelpDAO wurde am [ 18. April um ~ $290 Millionen ](https://www.upi.com/Top_News/World-News/2026/04/22/KelpDAO-LayerZero-North-Korea-crypto-hack-theft-Lazarus-Group/6151776848419/) leergeräumt, wobei vorläufige Zuweisungen erneut auf die Lazarus-Gruppe hindeuten. Drift kostete$ 285 Millionen und erforderte ein von Tether geführtes Rettungspaket in Höhe von $ 150 Millionen , nur um die Einleger schadlos zu halten. Beide Angriffe beinhalteten Insider-Positionierungen, die für die „Smash-and-Grab“-Taktiken von Lazarus aus dem Jahr 2022 noch undenkbar gewesen wären.

Der Wandel ist strukturell. Das traditionelle Krypto-Playbook von Lazarus – beispielhaft für die Ronin Bridge ($ 625 Mio., 2022) und Bybit – stützte sich auf das Durchbrechen der Perimeter-Abwehr: bösartige LinkedIn-Jobangebote an Ingenieure, als PDF getarnte Malware-Lebensläufe, Supply-Chain-Kompromittierungen von Entwickler-Tools. Diese Angriffe funktionieren immer noch, werden aber kostspieliger. Da immer mehr Protokolle Hardware-Wallets, Multisig und strikte Hygiene bei Schlüssel-Zeremonien einführen, steigen die Kosten für das Eindringen von außen. Die Kosten für eine Einladung nach innen sinken hingegen – weil die Krypto-Branche schnell, global und oft anonym einstellt.

Die IT-Arbeiter-Armee der DVRK: Versteckt vor aller Augen

Die Kompromittierung von Drift liegt an der Schnittstelle zweier nordkoreanischer Programme, die bis vor kurzem als getrennte Bedrohungen behandelt wurden: Lazarus' Elite-Hackereinheiten und das massive Programm des Regimes für Remote-IT-Arbeiter.

Im März 2026 hat das Office of Foreign Assets Control des US-Finanzministeriums sechs mit der DVRK verbundene Personen und zwei Organisationen sanktioniert für die Orchestrierung betrügerischer IT-Beschäftigungsverhältnisse, die [ allein im Jahr 2024 fast $800 Millionen generierten ](https://www.coindesk.com/business/2026/03/13/u-s-sanctions-6-people-2-companies-that-laundered-usd800-million-in-crypto-for-north-korea), um die Massenvernichtungswaffen- und ballistischen Raketenprogramme des Regimes zu finanzieren. Unter den Sanktionierten: Nguyen Quang Viet, CEO des in Vietnam ansässigen Unternehmens Quangvietdnbg International Services, der zwischen 2023 und 2025 mutmaßlich ~$ 2,5 Millionen in Kryptowährungen für nordkoreanische Akteure umwandelte.

Das Ausmaß ist erschreckend. Eine kürzlich von der Ethereum Foundation unterstützte Untersuchung identifizierte 100 DVRK-Agenten, die derzeit in Krypto-Firmen eingeschleust sind , und das UN-Expertenpanel schätzt seit langem, dass Tausende von DVRK-Staatsangehörigen weltweit remote für Unternehmen arbeiten. Eine Untersuchung von CNN im August 2025 ergab, dass DVRK-Agenten die Lieferketten fast aller Fortune-500-Unternehmen infiltriert haben , oft über sogenannte „Facilitators“ – meist US-Bürger, die gegen Gebühr Laptops in ihren Wohnungen hosten und so US-IP-Adressen für die Agenten bereitstellen.

Auch die Taktiken haben sich über die passive Beschäftigung hinaus entwickelt. Laut Analysen von Chainalysis sind DVRK-Agenten dazu übergegangen, sich als Recruiter bei namhaften Web3- und KI-Unternehmen auszugeben , überzeugende „Karriereportale“ für mehrere Unternehmen aufzubauen und den daraus resultierenden Zugang zu nutzen, um Malware einzuschleusen, proprietäre Daten zu exfiltrieren oder – wie im Fall von Drift – vertrauensvolle Geschäftsbeziehungen aufzubauen, die sich Monate später auszahlen.

Die Erkennung ist schwierig, aber nicht unmöglich. SpyCloud und Nisos haben wiederkehrende Muster dokumentiert: KI-generierte Profilfotos, Abneigung gegen Video-Calls, Forderungen nach ausschließlich Krypto-Zahlungen, Angaben zum Wohnsitz, die nicht mit der IP-Geolokalisierung übereinstimmen, Weigerung, vom Unternehmen bereitgestellte Geräte zu verwenden, und E-Mail-Konventionen, die stark auf Geburtsjahren, Tieren, Farben und Mythologie basieren. Keines dieser Signale ist für sich allein entscheidend. Zusammen bilden sie jedoch ein Profil, das jeder DeFi-Hiring-Manager kennen sollte.

Warum Audits, Multisig und KYC gegen Insider auf staatlicher Ebene versagen

Die unangenehmste Implikation von Drift ist, dass der gesamte DeFi-Sicherheits-Stack für ein anderes Bedrohungsmodell konzipiert wurde.

Smart-Contract-Audits untersuchen Code, keine Mitwirkenden. Ein sauberes Audit von Trail of Bits, OpenZeppelin oder Quantstamp sagt Ihnen, dass der Bytecode des Protokolls das tut, was er behauptet. Es sagt Ihnen nichts darüber aus, wer die Admin-Keys besitzt, wer Upgrade-Funktionen aufrufen kann oder wer im Discord-Kanal sitzt, in dem Mitglieder des Sicherheitsrats Signaturen koordinieren. Die Verträge von Drift wurden nicht gehackt. Seine Mitarbeiter wurden es.

Multisig-Governance setzt ehrliche Unterzeichner voraus. Eine 2-von-5- oder 4-von-7-Multisig schützt vor der Kompromittierung eines einzelnen Schlüssels oder eines einzelnen böswilligen Insiders. Sie schützt nicht vor einer koordinierten Social-Engineering-Kampagne, bei der mehrere legitime Unterzeichner dazu verleitet werden, Fragmente eines Angriffs über Wochen hinweg in Form von vorunterzeichneten Durable Nonce-Transaktionen zu genehmigen. Selbst eine Erhöhung der Schwelle auf 5-von-9 macht die Arbeit des Angreifers nur unwesentlich schwerer, wenn dieser unbegrenzt Zeit und eine glaubwürdige geschäftliche Tarnung hat.

KYC und Hintergrundüberprüfungen versagen bei gefälschten Identitäten. Staatliche Akteure nutzen gestohlene US-Identitäten, KI-generierte Fotos und gewaschene Beschäftigungshistorien, die Standard-Verifizierungen bestehen. Die Sanktionen des US-Finanzministeriums vom März 2026 wiesen ausdrücklich auf die Nutzung von „konformen Börsen, gehosteten Wallets, DeFi-Diensten und Cross-Chain-Bridges“ durch diese Netzwerke hin – dieselbe KYC-geprüfte Infrastruktur, die der Rest der Branche für sicher hält.

Pseudonyme Mitwirkende sind ein Feature, kein Bug – bis sie es nicht mehr sind. Die DeFi-Kultur feiert die Pseudonymität. Viele der angesehensten Entwickler in diesem Bereich agieren unter Decknamen, tragen über GitHub-Commits und Discord-Handles bei und treffen ihre Kollegen nie persönlich. Diese Kultur ist unvereinbar mit dem Drift-Bedrohungsmodell, bei dem der Angreifer genau sechs Monate in den Aufbau von Vertrauen investiert hat.

Wie Defense-in-Depth für das neue Bedrohungsmodell aussieht

Drift ist nicht das Ende dieser Geschichte; es ist die Vorlage. Jedes Protokoll mit Admin-Keys, Governance-Multisig oder erheblichem Treasury-Risiko ist nun anfällig für das gleiche Playbook. Aus den Post-Mortem-Analysen sind mehrere praktische Maßnahmen zur Härtung hervorgegangen.

Verifizierung der Transaktionsabsicht auf Ebene der Transaktion, nicht Vertrauen auf Ebene der Unterzeichner. Tools wie die Transaktionssimulation von BlockSec, Tenderly Defender und Wallet Guard machen die vollständige wirtschaftliche Auswirkung einer Transaktion sichtbar – einschließlich potenziell bösartiger Auswirkungen über bereits existierende Nonces –, bevor die Unterzeichner zustimmen. Das Standard-UX von „diesen Hash signieren“ muss sterben.

Aggressive Timelocks für Governance-Aktionen. Ein 24- bis 72-Stunden-Timelock für Admin-Key-Übertragungen, Vertrags-Upgrades und Treasury-Bewegungen gibt der Community Zeit, anomale Vorschläge zu erkennen. Die Admin-Übergabe bei Drift erfolgte in zwei Transaktionen im Abstand von einer Sekunde. Eine 48-stündige Verzögerung wäre ein 48-Stunden-Fenster für den Sicherheitsrat gewesen, um zu bemerken, dass sie im Begriff waren, die Kontrolle zu verlieren.

Hardware-Sicherheitsmodule mit betrieblicher Trennung. HSMs verhindern, dass ein kompromittierter Entwickler-Rechner Signierschlüssel extrahiert, aber sie verhindern keinen Missbrauch von Durable Nonces. Kombinieren Sie HSMs mit obligatorischen Multi-Party-Computation (MPC)-Workflows, die das Signieren unter Durable Nonces für Governance-Rollen explizit untersagen.

Persönliche Verifizierung für Rollen mit hohem Vertrauen. Das Playbook der DVRK hängt von reiner Remote-Beschäftigung ab. Die Forderung nach physischer Präsenz – auf Konferenzen, in Büros oder bei notariell beglaubigten persönlichen Treffen – für jeden mit Admin-Zugriff, Audit-Privilegien oder Treasury-Verantwortung erhöht die operativen Kosten drastisch. (Die Angreifer von Drift trafen sich zwar persönlich mit Mitwirkenden, aber erst nach einer langen Online-Vorbereitungsphase, die darauf ausgelegt war, diese Treffen wie routinemäßige Geschäftstermine erscheinen zu lassen. Eine persönliche Verifizierung funktioniert nur, wenn sie das anfängliche Vertrauen absichert, nicht wenn sie eine bereits etablierte Beziehung bestätigt.)

Reputationssysteme für Mitwirkende und On-Chain-Identitätsattestierungen. Worldcoin Proof-of-Personhood, Gitcoin Passport und ähnliche Systeme sind unvollkommen, aber sie erhöhen die Kosten für das Fälschen einer Identität, die eine mehrjährige On-Chain-Historie, Attestierungen von bekannten Mitwirkenden und verifizierbare Aktivitäten über Protokolle hinweg aufweist.

Transparenz bei öffentlichen Einstellungen für sicherheitskritische Rollen. Eine Norm, bei der Protokolle öffentlich offenlegen, wer Admin-Keys hält, wer im Sicherheitsrat sitzt und wer Audit-Zugriff hat – selbst wenn diese Personen unter Pseudonymen agieren –, schafft gemeinschaftsweite Sichtbarkeit. Ein fünfköpfiger Sicherheitsrat, dem zwei Wochen vor einem Exploit still und leise ein neues Mitglied hinzugefügt wurde, ist genau das Muster, nach dem zukünftige Untersuchungen suchen sollten.

Die betriebliche Abrechnung, die DeFi nicht länger aufschieben kann

Der Drift-Vorfall ist eine Studiengebühr von 285 Millionen Dollar für eine Lektion, die DeFi seit 2022 vor sich herschiebt: Protokollsicherheit ist nicht dasselbe wie Codesicherheit. Code kann auditiert, gefuzzt, formal verifiziert und durch Bug-Bounties zu einer angemessenen Robustheit gebracht werden. Menschen – die Entwickler, Unterzeichner, Mitwirkenden und Partner, die Schlüssel halten, Upgrades genehmigen und die Governance gestalten – können nicht auf die gleiche Weise auditiert werden.

Nordkorea hat das bemerkt. Dasselbe Regime, das 2025 eine bösartige Safe{Wallet} JavaScript-Payload an Bybit schickte, schickte 2026 ein hochprofessionelles Business-Development-Team zu Drift. Der nächste Angriff wird keinem von beiden ähneln. Er wird so aussehen, wie auch immer das Vertrauensmuster beschaffen ist, das das nächste Ziel noch nicht zu hinterfragen gelernt hat.

Für Protokolle, die heute bauen, lautet die praktische Frage nicht: „Sind wir anfällig für einen Lazarus-Zero-Day?“. Sie lautet: „Wenn ein hochentwickelter Gegner sechs Monate damit verbringen würde, unser Freund zu werden, wie viel könnte er stehlen?“. Wenn die ehrliche Antwort „der Großteil unseres TVL“ lautet, dann ist das die Sicherheitslücke, die geschlossen werden muss – bevor sich das nächste Durable-Nonce-Fenster öffnet.

BlockEden.xyz betreibt RPC- und Indexer-Infrastruktur in Produktionsqualität für Sui, Aptos, Solana, Ethereum und über 25 weitere Chains, mit hardwaregesicherter Schlüsselverwahrung, Multi-Party-Betriebskontrollen und Richtlinien zur Verifizierung von Mitwirkenden, die für das Bedrohungsumfeld nach Drift entwickelt wurden. Entdecken Sie unsere Infrastruktur-Services, um auf einem Fundament aufzubauen, das gegen die Gegner gehärtet ist, mit denen DeFi im Jahr 2026 tatsächlich konfrontiert ist.

Quellen

• Nordkoreanische Hacker greifen Drift Protocol bei einem Raubzug in Höhe von 285 Millionen USD an — TRM Labs
• Drift Protocol Hack: Wie privilegierter Zugriff zu einem Verlust von 285 Mio. $ führte — Chainalysis
• Drift Protocol Vorfall Post-Mortem — Credshields
• Drift Protocol Vorfall: Kompromittierung der Multisig-Governance durch Durable Nonce Exploitation — BlockSec
• Wie eine auf Bequemlichkeit ausgelegte Solana-Funktion es einem Angreifer ermöglichte, 270 Mio. $ von Drift abzuziehen — CoinDesk
• 285 Mio. $ Drift-Hack auf sechsmonatige DPRK-Social-Engineering-Operation zurückgeführt — The Hacker News
• Drift Protocol sichert sich 150 Mio. $ Tether-geführte Rettungsaktion nach massivem Hack — Brief Glance
• DeFi muss reifer werden, wenn es die Zukunft des Finanzwesens sein will, sagt ein Insider des gehackten Drift Protocols — DL News
• Mit Nordkorea verbundene Hacker stehlen 2,02 Milliarden $ im Jahr 2025 — The Hacker News
• Nordkoreanische Hacker mit 290 Mio. $ KelpDAO-Krypto-Raub in Verbindung gebracht — UPI
• Finanzministerium sanktioniert DPRK-Banker und Institutionen, die an der Geldwäsche von Erträgen aus Cyberkriminalität beteiligt sind — U.S. Department of the Treasury
• OFAC nimmt DPRK-IT-Mitarbeiter ins Visier, die Krypto nutzen — Chainalysis
• USA sanktionieren Netzwerk, das mutmaßlich 800 Millionen $ in Krypto für Nordkorea gewaschen hat — CoinDesk
• Neue OFAC-Sanktionen richten sich gegen Nordkoreas Krypto-Armee — Crypto Impact Hub
• Von Ethereum unterstützte Untersuchung deckt 100 DPRK-Agenten in Krypto-Firmen auf — LiveBitcoinNews
• Wie nordkoreanische IT-Mitarbeiter KI und schutzbedürftige Amerikaner nutzen, um US-Unternehmen zu infiltrieren — CNN
• Beschäftigungsbetrug: Wie man gefälschte nordkoreanische IT-Mitarbeiter identifiziert — SpyCloud
• DPRK-IT-Mitarbeiter-Betrug: Maßnahmen zur Risikominderung für Recruiting-Teams — Nisos
• Das Playbook der Lazarus-Gruppe: Einblick in Nordkoreas 6,75 Mrd. $ Krypto-Raubzug-Operation — BlockEden.xyz