Drift Protocol：Beginnt mit der Ausarbeitung eines Wiederherstellungsplans, beteiligt sich am STRIDE-Sicherheitsprogramm

Drift Protocol veröffentlichte am 8. April auf der X-Plattform die neuesten Fortschritte im Zusammenhang mit dem Vorfall und gab an, dass man derzeit aktiv mit den Kooperationspartnern einen abgestimmten und einheitlichen Wiederherstellungsplan ausarbeitet. In der aktuellen Phase liege der Arbeitsschwerpunkt darauf, die Lage zu stabilisieren, und allen betroffenen Nutzern sowie Kooperationspartnern Schutz auf Vereinbarungsebene zu bieten. Darüber hinaus kündigte Drift Protocol an, sich am Sicherheitsprogramm STRIDE der Solana Foundation zu beteiligen; im Anschluss werden weitere Einzelheiten veröffentlicht.

Aktueller Stand des Wiederherstellungsplans: Stabilisierung der Lage hat derzeit höchste Priorität

Drift Protocol betonte, dass die Ausarbeitung des Wiederherstellungsplans eine mehrseitige Abstimmung zwischen Kooperationspartnern, betroffenen Nutzern und Kooperationspartnern im Ökosystem beinhaltet. Die Priorität liege derzeit bei „Stabilisierung der Lage“, um sicherzustellen, dass betroffene Nutzer auf Ebene der Vereinbarungen abgesichert sind, und um zudem nachgelagerte Kompensations- und Wiederherstellungslösungen zu untersuchen.

Die Teilnahme am STRIDE-Programm ist ein wichtiger Bestandteil der Roadmap zur Sicherheitsverstärkung von Drift Protocol. STRIDE wird von Asymmetric Research geleitet und von der Solana Foundation finanziert. Es bietet unabhängige Sicherheitsbewertungen, ein rund um die Uhr aktives Threat-Monitoring (für Vereinbarungen mit einem TVL von über 10M USD) sowie Dienste für formale Verifikation (für Vereinbarungen mit einem TVL von über 100M USD).

Angriffsaufarbeitung: Detaillierte Einblicke in die sechsmonatigen Informationsdurchdringungsaktionen

Bei dem Angriff handelte es sich nicht um eine klassische Ausnutzung technischer Schwachstellen, sondern um eine komplexe Aktion, die Social Engineering und technischen Eindringversuch kombiniert. Der Angreifer gab sich als „quantitative Handelsunternehmen, die an einer Integration interessiert sind“ aus. Im vergangenen Herbst nahm er bei einer großen Branchenkonferenz proaktiv Kontakt zu den Zielpersonen auf und baute anschließend schrittweise Vertrauen auf, indem er über persönliche Treffen und Kommunikation via Telegram kooperierte. Vor der Durchführung des Angriffs deponierte die Angreiferseite sogar 1M USD an eigenem Kapital in einem Plattform-Tresor, um die Glaubwürdigkeit zu erhöhen. Unmittelbar nach Abschluss der Aktion verschwand der Angreifer.

Technischer Pfad der Angriffsmethode

Einschleusung bösartiger Code-Bibliotheken: Einbetten von schädlichem Code in die Entwicklungsumgebung über den Lieferkettenpfad, um eine stille Ausführung zu ermöglichen

Fälschung von Anwendungen: Durch Tools, die äußerlich legal wirken, Mitwirkende dazu verleiten, schädliche Programme herunterzuladen und auszuführen

Ausnutzung von Schwachstellen in Entwicklungstools: Erreichen einer stillen Code-Ausführung durch Ausnutzung schwacher Stellen im Entwicklungsprozess

Social-Engineering-Durchdringung: Nutzung eines Dritten als Vermittler zur Durchführung persönlicher Treffen, um Risiken einer direkten Identifikation der Nationalität zu umgehen

Drift Protocol weist darauf hin, dass die Personen, die zu persönlichen Kontakten eingesetzt werden, keine Bürger Nordkoreas sind; Akteure mit nationalem Hintergrund führen derartige Vor-Ort-Durchdringungsaufgaben typischerweise über einen Dritten als Vermittler aus.

AppleJeus-Zuordnung: Digitale Spuren eines nordkoreanischen Nachrichtendienst-Systems

Drift Protocol ordnete den Angriff mit mittlerer bis hoher Sicherheit einem Bedrohungsakteur namens AppleJeus (auch bekannt als Citrine Sleet) zu. Das Cybersicherheitsunternehmen Mandiant hatte die Organisation zuvor mit dem Hackerangriff im Jahr 2024 auf Radiant Capital in Verbindung gebracht. Reaktionsverantwortliche sagten, dass sowohl die On-Chain-Analyse als auch Muster der Überschneidung von Identitäten auf eine Beteiligung von Personen im Zusammenhang mit Nordkorea hindeuten, Mandiant habe jedoch diese Zuordnung derzeit noch nicht offiziell bestätigt.

Ein Strategieleiter eines Blockchain-Sicherheitsunternehmens sagte, dass die Gegner, mit denen Kryptogeld-Teams derzeit konfrontiert seien, eher „Nachrichtendienste“ als traditionelle Hacker seien. Das zentrale Sicherheitsproblem, das dieser Vorfall verdeutliche, sei nicht die Anzahl der Unterzeichner, sondern das „grundlegende fehlende Verständnis der Absicht hinter den Transaktionen“, wodurch Unterzeichner dazu verleitet würden, eine bösartige Aktion zu genehmigen.

Branchenwarnung: Das DeFi-Ökosystem könnte bereits weitreichend durchdrungen sein

Ein Sicherheitsexperte, der an dieser Untersuchung beteiligt war, sagte, dass das DeFi-Ökosystem möglicherweise bereits weitreichend von Akteuren wie diesen durchdrungen wurde, und schätze, dass die entsprechenden Organisationen seit langer Zeit daran beteiligt seien, die Beeinflussung mehrerer Vereinbarungen zu betreiben. Diese Aussage bedeutet, dass der Angriff auf Drift Protocol möglicherweise kein isolierter Vorfall ist, sondern Teil eines größeren, laufenden Durchdringungsplans. Die Sicherheits- und Verteidigungsarchitektur des gesamten dezentralen Finanz-Ökosystems stehe damit vor einem grundlegenden Reflexionsdruck.

Häufige Fragen

Wie sieht der Fortschritt im Wiederherstellungsplan zum 285-Millionen-USD-Diebstahl von Drift Protocol aus?

Drift Protocol erklärte, dass man derzeit aktiv mit den Kooperationspartnern einen abgestimmten und einheitlichen Wiederherstellungsplan ausarbeitet. In der aktuellen Phase liege der Schwerpunkt auf der Stabilisierung der Lage und darauf, allen betroffenen Nutzern sowie Kooperationspartnern Schutz auf Vereinbarungsebene zu bieten. Außerdem kündigte man an, sich am Sicherheitsprogramm STRIDE der Solana Foundation zu beteiligen; die weiteren Details werden später separat veröffentlicht.

Wie wurde Drift Protocol angegriffen?

Die Angreifer gaben sich als quantitative Handelsunternehmen aus, bauten über sechs Monate hinweg Vertrauen auf, indem sie über persönliche Treffen und Social Engineering eine Durchdringung betrieben, und speicherten im Voraus 1M USD echte Mittel ein, um die Glaubwürdigkeit zu erhöhen. Schließlich wurde über eine bösartige Code-Bibliothek, gefälschte Anwendungen und die Ausnutzung von Schwachstellen in Entwicklungstools eine stille Code-Ausführung umgesetzt, wodurch etwa 285M USD gestohlen wurden.

Ist die Verbindung zwischen diesem Angriff und nordkoreanischen Nachrichtendienst-Organisationen bereits bestätigt?

Drift Protocol ordnete den Angriff mit mittlerer bis hoher Sicherheit dem Bedrohungsakteur AppleJeus zu. On-Chain-Analysen und Muster der Überschneidung von Identitäten deuten auf eine Beteiligung von Personen im Zusammenhang mit Nordkorea hin. Allerdings hat Mandiant, das Cybersicherheitsunternehmen, diese Zuordnung derzeit noch nicht offiziell bestätigt.