Zurück zur Startseite

Nordkoreanische Hacker stehlen 285 Mio. $ durch Fake-Händler

Ein sechsmonatiger Angriff durch nordkoreanische Hacker auf Drift Protocol zeigt, wie Social Engineering und manipulierte Entwicklungstools massive Kryptowährungsdiebstähle ermöglichen. Die Sicherheit von DeFi-Plattformen steht vor neuen Herausforderungen.

285 Mio. $ gestohlen: So tricksten Hacker Drift Protocol
Advertisement 728x90

Wie nordkoreanische Hacker 285 Millionen Dollar stahlen, indem sie sich als vertrauenswürdige Händler ausgaben

Letzten Herbst erschienen Personen, die eine angebliche quantitative Handelsfirma repräsentierten, auf einer großen Kryptowährungskonferenz. Sie trafen Entwickler von Drift Protocol – einer dezentralen Börse (DEX), die auf der Solana-Blockchain basiert – und begannen Gespräche wie ein seriöser Geschäftspartner. Sie tauschten Kontakte aus, traten in Telegram-Gruppen ein und legten sogar eine Million Dollar auf das Ökosystem von Drift, um ihre Seriosität zu beweisen.

Doch nichts davon war echt. Laut Untersuchung von Drift gehörten diese Personen zu UNC4736, einer Hackergruppe, die mit Nordkorea verbunden ist. Ihr Ziel war nicht nur der Diebstahl – es ging darum, sich so perfekt einzufügen, dass keine Alarmglocken läuteten, bis es bereits zu spät war.

Wie der Hack tatsächlich funktionierte

Die Angreifer knackten keine Passwörter oder erraten geheime Codes. Stattdessen setzten sie drei heimtückische Methoden ein:

Google AdInline article slot
  • Falsche Entwicklungstools: Sie erstellten eine schadhafte Version beliebter Programmier-Software (wie VSCode oder Cursor), die normal aussah, aber im Hintergrund schädlichen Code ausführte.
  • Falsche Mobilapps: Sie verteilten eine gefälschte TestFlight-App – Apple’s System zum Testen von Vorab-Software –, die Nutzer dazu brachte, Malware zu installieren.
  • Eine gefälschte Code-Datenbank: Entwickler zogen unbemerkt Code aus einer Nachbildung, die versteckte Hintertüren enthielt.

Sobald sie Zugang hatten, bauten die Hacker ein sogenanntes „Ecosystem Vault“ – ein spezielles Konto für große Partner – und nutzten es, um den Diebstahl auszulösen. Kurz nach dem Abfluss von 285 Millionen Dollar löschten sie jede Spur: Telegram-Chats verschwanden, die Malware deaktivierte sich selbst, und ihre Online-Identitäten waren plötzlich nicht mehr auffindbar.

Warum dies nicht nur eine Plattform betrifft

Dieser Angriff passt zu einem wachsenden Muster. Dasselbe Gruppierung – auch bekannt als AppleJeus oder Citrine Sleet – wird in anderen großen Kryptowährungsüberfällen vermutet, darunter der Angriff auf Radiant Capital im Jahr 2024. Sicherheitsexperten sagen, dass Akteure mit nordkoreanischem Hintergrund oft nicht-nordkoreanische Vermittler für persönliche Treffen nutzen, was die Erkennung noch schwieriger macht.

Schlimmer noch: Diese Methode umgeht traditionelle Sicherheitsmaßnahmen. Selbst Mehrfachsignatur-Wallets – bei denen mehrere Personen eine Transaktion genehmigen müssen – scheiterten hier, weil die Unterzeichner dazu verleitet wurden, etwas zu bestätigen, das harmlos wirkte. Wie ein Experte sagte: „Das Problem ist nicht, wie viele Menschen unterschreiben – sondern ob sie verstehen, was sie unterschreiben.“

Google AdInline article slot

Was bedeutet das für gewöhnliche Nutzer?

Wenn du Kryptowährungs-Apps verwendest – selbst indirekt über Börsen oder Wallets –, bist du von dieser Art von Bedrohung betroffen. Wenn Hacker die Werkzeuge kompromittieren, auf die Entwickler angewiesen sind, ist jeder, der später darauf aufbaut, gefährdet. Es ist, als würde ein Koch versehentlich vergiftete Zutaten verwenden: Das Essen sieht gut aus, ist aber gefährlich.

Du musst nicht panikartig reagieren, aber es ist ein Hinweis darauf, dass Vertrauen in digitalen Räumen überprüft, nicht vorausgesetzt werden darf. Die sichersten Systeme simulieren nun Transaktionen vor ihrer Ausführung und zeigen genau an, was sich auf der Blockchain ändern wird – egal wie freundlich die Anfrage wirkt.

Wichtige Erkenntnisse

  • Nordkoreanische Hacker drangen über sechs Monate hinweg in Drift Protocol ein, indem sie falsche Identitäten und persönliche Treffen nutzten.
  • Sie nutzten vertrauenswürdige Entwicklungstools und Apps, um unsichtbar schädlichen Code einzubauen.
  • Der Diebstahl von 285 Millionen Dollar gelang, weil Menschen manipuliert wurden – nicht wegen technischer Schwächen allein.
  • Mehrfachsignatur-Sicherheit kann versagen, wenn Nutzer nicht verstehen, was sie genehmigen.
  • Die größere Lehre: In der Kryptowelt sieht man nicht immer, was man glaubt – Transaktionen müssen unabhängig verifiziert werden.

— Editorial Team

Google AdInline article slot
Advertisement 728x90

Weiterlesen

Partner-News