Der größte Engpass in der DeFi-Entwicklung

Autor: Chloe, ChainCatcher

In der vergangenen Woche wurde das Solana-Kreditprotokoll Drift gehackt, was zu einem Diebstahl von etwa 285 Millionen Dollar an Benutzervermögen führte. Laut offiziellen Aussagen handelte es sich nicht um einen typischen Angriff auf eine Smart-Contract-Sicherheitsanfälligkeit, sondern um einen sechs Monate langen, sorgfältig geplanten Social-Engineering-Angriff durch staatlich unterstützte Hacker.

Es gibt sogar ermittlungsbezogene Hinweise, die darauf hindeuten, dass dieselbe Gruppe von Bedrohungsträgern möglicherweise bereits in die Kernentwicklung mehrerer DeFi-Protokolle eingedrungen ist, nicht als Angreifer, sondern als Mitwirkende.

Nordkoreanische Hacker dringen häufig in frühe Ziele ein, investieren jedoch selten große Geldsummen.

Laut der Erklärung zum Drift-Vorfall war die Kernstrategie der Angreifer, "Teil des Ökosystems zu werden."

Seit dem Herbst 2025 verkleideten sie sich als quantitative Handelsfirma und begannen, mit den Kernmitarbeitern von Drift auf großen Konferenzen der Kryptoindustrie in Kontakt zu treten. Dieses Engagement war kein einmaliges Ereignis, sondern vielmehr mehrere Interaktionen in verschiedenen Ländern und auf verschiedenen Konferenzen, die absichtlich über sechs Monate hinweg durchgeführt wurden. Diese Personen waren technisch versiert, hatten überprüfbare Hintergründe und waren gut mit der Funktionsweise von Drift vertraut.

Darüber hinaus beschränkten sich ihre Interaktionen nicht nur auf die Kernmitglieder von Drift. Das Team nutzte auch den offenen Mechanismus des Drift Ecosystem Vault, listete erfolgreich ihren eigenen Vault als legitime Handelsfirma, hinterlegte über 1 Million Dollar eigener Mittel, nahm an mehreren Arbeitssitzungen teil und stellte tiefgehende Produktfragen, wodurch das Vertrauen zum Projektteam gefestigt wurde.

Blockchain-Technologie-Experte Steven erklärte in einem Interview mit ChainCatcher: "Nordkoreanische Hacker dringen von Anfang an in Ziele ein, was gängige Praxis ist, aber große Geldsummen als Grundlage für Vertrauen zu investieren, ist relativ selten. Für die Angreifer ist diese Million Dollar jedoch im Wesentlichen eine risikofreie Investition; solange sie keinen Angriff starten, sind dieses Geld lediglich normale Mittel, die im Vault existieren und jederzeit abgehoben werden können; und die tatsächlichen Operationen werden von unwissenden Drittpersonen durchgeführt, was zu fast keinen wirtschaftlichen Verlusten für die Organisation selbst führt."

Darüber hinaus teilte das Team während ihrer langfristigen Zusammenarbeit mit Drift Codeprojekte und Anwendungen, die auf GitHub unter dem Vorwand gespeichert waren, ihre eigenen Entwicklungstools vorzustellen. Angesichts der damaligen Umstände war es völlig normal, dass Partner den Code des jeweils anderen überprüften. Nachfolgende Untersuchungen von Drift ergaben jedoch, dass ein Mitwirkender ein GitHub-Codeprojekt mit bösartigem Code kopiert hatte, während ein anderer Mitwirkender dazu verleitet wurde, eine TestFlight-Anwendung herunterzuladen, die als Wallet-Produkt getarnt war.

Der Grund, warum der Codeprojektweg schwer zu schützen ist, liegt darin, dass er vollständig in den täglichen Arbeitsablauf der Entwickler eingebettet ist. Entwickler verwenden typischerweise Code-Editoren wie VSCode oder Cursor, wenn sie Code schreiben, was man als das Word für Ingenieure betrachten kann, etwas, das sie täglich öffnen und nutzen.

Die Sicherheitsforschergemeinschaft entdeckte bis Ende 2025 eine schwerwiegende Schwachstelle in solchen Editoren: Wenn Entwickler Codeprojekte öffneten, die von anderen geteilt wurden, wurden versteckte bösartige Befehle innerhalb der Projekte automatisch im Hintergrund ausgeführt, völlig heimlich, ohne dass Bestätigungsfenster auf dem Bildschirm erschienen, ohne dass Klicks zur Zustimmung erforderlich waren, und ohne Warnungen. Die Entwickler glaubten, sie würden lediglich "Code ansehen", aber ihre Computer waren tatsächlich mit Hintertüren versehen worden. Die Angreifer nutzten diese Schwachstelle aus, um Malware innerhalb der täglichen Abläufe zu verstecken, die die Entwickler routinemäßig durchführten.

Als der Drift-Angriff am 1. April stattfand, waren die Telegram-Chatprotokolle der Angreifer und alle Spuren von Malware vollständig gelöscht, was eine Lücke von 285 Millionen Dollar hinterließ.

Ist Drift nur die Spitze des Eisbergs?

Laut einer Untersuchung der Notfall-Sicherheitsreaktionsorganisation SEAL 911 in der Kryptoindustrie wurde dieser Angriff von derselben Gruppe von Bedrohungsakteuren durchgeführt, die für den Radiant Capital-Hack im Oktober 2024 verantwortlich waren. Die Verbindungen umfassen On-Chain-Geldflüsse (die Mittel, die zur Vorbereitung und Testung dieser Operation verwendet wurden, stammen von den Radiant-Angreifern) und operationale Muster (die in dieser Operation eingesetzten Personas zeigen erkennbare Überschneidungen mit bekannten nordkoreanischen Aktivitäten). Mandiant, ein bekanntes Unternehmen für Sicherheitsforensik, das von Drift (jetzt Teil von Google) beauftragt wurde, hatte zuvor den Radiant-Vorfall der nordkoreanischen staatlich verbundenen Organisation UNC4736 zugeschrieben, aber Mandiant hat den Drift-Vorfall noch nicht formell zugeordnet, und die vollständige Geräteforensik ist noch im Gange.

Bemerkenswerterweise waren die Personen, die persönlich an den Treffen teilnahmen, keine nordkoreanischen Staatsangehörigen. Steven erklärte: "Nordkoreanische Hacker sollten nicht als typische Hackerorganisation betrachtet werden, sondern eher als Geheimdienst; es handelt sich um eine große Organisation mit Tausenden von Menschen und klar definierten Rollen. Unter ihnen ist der nordkoreanische Hacker Lazarus international im Sicherheitsbereich als APT38 bekannt, während eine andere verbundene Organisation, Kimsuky, als APT43 bezeichnet wird."

Das erklärt, warum sie in der Lage sind, echte Personen offline einzusetzen. Sie gründen Unternehmen im Ausland unter verschiedenen Namen und rekrutieren lokale Mitarbeiter, die möglicherweise nicht einmal wissen, für wen sie arbeiten. "Er könnte denken, er habe sich einem normalen Remote-Arbeitsunternehmen angeschlossen, und nach einem Jahr wird er geschickt, um einen Kunden zu treffen; alles scheint normal, aber dahinter steckt eine Hackerorganisation. Wenn die Strafverfolgung kommt, um zu ermitteln, weiß diese Person von nichts."

Jetzt könnte Drift nur die Spitze des Eisbergs sein.

Wenn der Drift-Vorfall eine Schwachstelle in einem einzigen Protokoll aufdeckt, deuten nachfolgende Untersuchungen auf ein größeres Problem hin: Dieselben Methoden könnten seit Jahren im gesamten DeFi-Ökosystem aktiv gewesen sein.

Laut der Untersuchung des Blockchain-Forschers Tayvano haben sich seit der raschen Expansion von DeFi im Jahr 2020 Codebeiträge, die mit nordkoreanischen IT-Arbeitern verbunden sind, über mehrere bekannte Projekte verbreitet, darunter SushiSwap, THORChain, Harmony, Ankr und Yearn Finance.

Die Methoden, die von diesen Personen verwendet werden, sind auffallend ähnlich zu denen im Drift-Vorfall: Sie nutzen gefälschte Identitäten, erhalten Entwicklungsrollen über Freelance-Plattformen und direkte Kontakte, treten Discord-Kanälen, Entwicklergemeinschaften bei und nehmen sogar an Entwicklerbesprechungen teil. Sobald sie im Projekt sind, tragen sie Code bei, nehmen an Entwicklungszyklen teil und bauen Vertrauen mit dem Team auf, bis sie die gesamte Protokollarchitektur verstehen und auf den richtigen Moment warten, um zu handeln.

Steven glaubt, dass traditionelle Geheimdienste sogar ein Leben lang im Hinterhalt lauern können, wobei die nächste Generation die unvollendeten Aufgaben der vorherigen Generation fortsetzt. Für sie sind Web3-Projekte kurzfristig mit hohen Renditen, und die Natur der Fernarbeit ermöglicht es einer Person, mehrere Rollen in verschiedenen Projekten zu übernehmen, was in der Web3-Branche recht häufig ist und keinen Verdacht erregt.

"Die nordkoreanische Hackerorganisation umfasst alle Web3-Projekte in ihrem Angriffsbereich, prüft jedes Projekt sorgfältig und sammelt Informationen über die Teammitglieder. Ihr Verständnis der Projekte ist klarer als das der Projektteams selbst," sagte Steven. Der Grund, warum Web3 ein primäres Ziel geworden ist, liegt darin, dass dieses Ökosystem über eine große Menge an Mitteln verfügt, keine einheitliche globale Regulierung hat und die Verbreitung von Fernarbeit oft eine Überprüfung der wahren Identitäten von Mitarbeitern und Mitwirkenden unmöglich macht. Darüber hinaus bietet die allgemein junge und unerfahrene Natur der Praktizierenden ein ideales Eindringumfeld für nordkoreanische Geheimdienste.

Hacking-Vorfälle sind häufig; können Projektteams nur sitzen und warten?

Wenn man auf große Vorfälle der letzten Jahre zurückblickt, war Social Engineering immer eine Kernstrategie nordkoreanischer Hackergruppen. Kürzlich wurde die Memoiren von Binance-Gründer CZ mit dem Titel "Binance Life" veröffentlicht, in denen der Vorfall im Mai 2019 geschildert wird, als Binance um 7.000 Bitcoins gehackt wurde. Laut CZ drangen die Hacker zunächst in die Laptops mehrerer Mitarbeiter mit fortschrittlicher Malware ein und implantierten dann bösartige Befehle während des letzten Schrittes des Abhebungsprozesses, wodurch sie alle 7.000 Bitcoins aus der Hot Wallet um 1 Uhr morgens stahlen (zum damaligen Zeitpunkt etwa 40 Millionen Dollar wert). CZ schrieb im Buch, dass die Hacker, basierend auf den Angriffsmethoden, schon eine Weile im Binance-Netzwerk lauerten und stark verdächtigt werden, von Nordkoreas Lazarus zu stammen, möglicherweise sogar interne Mitarbeiter bestochen haben.

Der Vorfall im Ronin-Netzwerk 2022 ist ebenfalls ein klassischer Fall. Ronin ist die Sidechain hinter dem beliebten Blockchain-Spiel Axie Infinity, das für die Abwicklung aller Cross-Chain-Übertragungen von In-Game-Assets verantwortlich ist und zu diesem Zeitpunkt eine große Menge an gesperrten Mitteln hatte. Der Angriff wurde ausgelöst, als ein Entwickler ein scheinbar hochbezahltes Jobangebot von einem bekannten Unternehmen erhielt und während des Vorstellungsgesprächs eine Datei mit Malware herunterlud, was den Angreifern den Zugang zum internen System ermöglichte und letztendlich 625 Millionen Dollar stahl.

Der Vorfall bei CoinsPaid 2023 verwendete nahezu identische Taktiken. CoinsPaid ist ein Dienstleister für Kryptowährungszahlungen, und die Angreifer näherten sich ähnlich den Mitarbeitern über einen gefälschten Rekrutierungsprozess und verleiteten sie dazu, Malware zu installieren, bevor sie in das System eindrangen. Neuere Hacking-Methoden sind noch vielfältiger geworden: gefälschte Videoanrufe, kompromittierte soziale Konten und Malware, die sich als Meeting-Software tarnt.

Die Opfer erhielten scheinbar normale Calendly-Meeting-Links und wurden beim Klicken aufgefordert, eine gefälschte Meeting-Anwendung zu installieren, wodurch die Malware in der Lage war, Wallets, Passwörter, Wiederherstellungsphrasen und Kommunikationsprotokolle zu stehlen. Es wird geschätzt, dass nordkoreanische Hackergruppen durch solche Methoden über 300 Millionen Dollar gestohlen haben.

Gleichzeitig ist das endgültige Ziel der gestohlenen Gelder ebenfalls erwähnenswert. Steven erklärte, dass die gestohlenen Gelder letztendlich unter die Kontrolle der nordkoreanischen Regierung fallen. Geldwäsche wird von einem spezialisierten Team innerhalb der Organisation durchgeführt, das Mixer einrichtet und Konten mit gefälschten Identitäten an zahlreichen Börsen eröffnet, und zwar nach einem vollständigen und komplexen Prozess: Die Gelder werden unmittelbar nach dem Diebstahl durch Mixer gereinigt, dann in Privatsphäre-Coins umgetauscht und anschließend über verschiedene DeFi-Projekte transferiert, wobei sie wiederholt zwischen Börsen und DeFi zirkulieren.

"Der gesamte Prozess wird innerhalb von etwa 30 Tagen abgeschlossen, und die endgültigen Gelder landen in Casinos in Südostasien, bei kleinen Börsen, die keine KYC-Anforderungen haben, und bei OTC-Dienstleistern in Hongkong und Südostasien, wo sie ausgezahlt werden."

Angesichts dieses neuen Bedrohungsmodells, bei dem die Gegner nicht nur Angreifer, sondern auch Teilnehmer sind, wie sollte die Krypto-Industrie reagieren?

Steven ist der Ansicht, dass Projektteams, die große Geldbeträge verwalten, professionelle Sicherheitsteams einstellen, spezielle Sicherheitspositionen innerhalb des Teams einrichten und sicherstellen sollten, dass alle Kernmitglieder die Sicherheitsprotokolle strikt einhalten. Es ist besonders wichtig, dass Entwicklungsgeräte und Geräte, die für finanzielle Signaturen verantwortlich sind, strikt physisch isoliert sind. Er erwähnte speziell, dass ein zentrales Problem im Drift-Vorfall die Stornierung des Zeitverriegelungs-Puffermechanismus war, "der zu keinem Zeitpunkt storniert werden sollte."

Er gab jedoch auch zu, dass es selbst bei rigorosen Hintergrundprüfungen schwierig wäre, wenn nordkoreanische Geheimdienste wirklich tief eindringen wollen, vollständig zu identifizieren. Aber die Einbeziehung von Sicherheitsteams ist nach wie vor entscheidend. Er schlug vor, dass Projektteams Blaue Teams (die defensive Seite in der Cyber-Offensive und -Verteidigung) einführen, da Blaue Teams nicht nur dabei helfen können, die Sicherheit von Geräten und Verhaltensweisen zu verbessern, sondern auch kontinuierlich wichtige Knoten überwachen, um im Falle abnormaler Schwankungen sofortige Erkennung und Reaktion auf Angriffe zu ermöglichen. "Allein auf die Sicherheitsfähigkeiten des Projektteams zu vertrauen, reicht nicht aus, um diesem Angriffslevel standzuhalten."

Er fügte hinzu, dass die Cyberkriegfähigkeiten Nordkoreas zu den fünf besten der Welt gehören, nur übertroffen von den Vereinigten Staaten, Russland, China und Israel. Angesichts solcher Gegner reicht es bei weitem nicht aus, sich nur auf Code-Audits zu verlassen.

Fazit

Der Drift-Vorfall beweist, dass die größten Bedrohungen, mit denen DeFi heute konfrontiert ist, nicht nur Marktbedingungen oder Liquidität sind; in Bezug auf die Sicherheit geht es nicht nur darum, Code-Schwachstellen zu verhindern, da Spione direkt neben Ihnen lauern könnten.

Wenn Angreifer bereit sind, sechs Monate zu investieren und Millionen von Dollar auszugeben, um eine Beziehung aufzubauen, sind traditionelle Code-Audits und Sicherheitsverteidigungen einfach unzureichend. Darüber hinaus deuten bestehende Untersuchungen darauf hin, dass dieses Set von Taktiken seit Jahren in mehreren Projekten aktiv sein könnte, nur bisher nicht entdeckt wurde.

Ob DeFi Dezentralisierung und Offenheit aufrechterhalten kann, ist nicht mehr die zentrale Frage; die eigentliche Frage ist: Kann es dem Eindringen dieser gut verpackten Gegner widerstehen und gleichzeitig offen bleiben?