Drift-Hack erbeutete 285 Millionen Dollar |
Drift-Hack erbeutete 285 Millionen Dollar
Beim 285-Millionen-Drift-Hack fiel offenbar nicht zuerst der Code. Die Täter bauten monatelang Vertrauen auf und nutzten am Ende einen Token.
Der Code war bei Drift nicht das Problem
Drift-Hack: Vorbereitete Freigaben statt spontaner Zugriff
Ein künstlicher Token als einzige Sicherheit
Was öffentlich belegt ist – und was nicht
Problematisch war nicht nur das System
Wie Vertrauen, Freigaben und ein Fake-Token das Protokoll ausräumten. Drift ist eine dezentrale Börse für Krypto-Derivate. Dort gibt es Future-Kontrakte (Verträge), bei dem eine Kryptowährung zu einem festen Preis zu einem bestimmten Zeitpunkt gekauft oder verkauft wird. Beim Drift-Hack brach offenbar nicht zuerst der Smart Contract, sondern das Umfeld darum. Die Täter bauten über Monate Vertrauen auf, ließen Freigaben vorbereiten und zogen am Ende echte Werte mit einem künstlich aufgeblasenen Token aus dem Protokoll.
Der Code war bei Drift nicht das Problem
Bei 285 Millionen Dollar denken viele an einen typischen Fehler im Smart Contract. Das ist ein Programm auf einer Blockchain, das automatisch ausgeführt wird, sobald bestimmte Bedingungen erfüllt sind. Nach dem bisherigen Stand der Dinge lief es hier aber anders. Der Angriff setzte offenbar nicht zuerst beim Code an. Er zielte vielmehr auf die Menschen ab, die um das Protokoll herum arbeiteten. Der Betreiber von Drift spricht von einer monatelang vorbereiteten Operation und sieht mit mittlerer Sicherheit nordkoreanische Akteure hinter dem Angriff.
Die Vorbereitung zum Hack soll schon im Herbst 2025 begonnen haben. Eine vermeintliche Trading-Firma suchte auf Konferenzen gezielt den Kontakt zu Drift-Mitarbeitern, sprach mit ihnen über Strategien und mögliche Integrationen und hielt diese Kontakte anschließend über Monate hinweg aufrecht. In einer Telegram-Gruppe gingen die Gespräche weiter. Später floss laut den bisher bekannten Angaben sogar mehr als eine Million Dollar aus dem eigenen Vermögen in das Drift-Umfeld. Die Täter wollten nicht auffallen. Sie wollten wie Leute wirken, mit denen man eben produktiv zusammenarbeitet.
Als mögliche Einfallstore stehen bisher zwei Wege im Raum. In einem Fall soll ein Beteiligter ein präpariertes Repository geöffnet haben, das in Visual Studio Code über die Datei „tasks.json” automatisch........