Wieder ein Hack im DeFi-Space und wieder steckt vermutlich Nordkorea dahinter. Und doch war der Angriff auf die Solana-Plattform Drift, bei der 280 Millionen US-Dollar gestohlen wurden, besonders. Monatelang geplant, minutiös durchgeführt: Dieses Vorgehen kennt man von Kim Jong Uns berüchtigten Hackerbanden. Neu ist die Qualität der Manipulationstaktiken, auch bekannt als Social Engineering. Personen wurden eingeschleust, Vertrauen aufgebaut. Und das, wie nun ans Licht kam, wohl schon seit einigen Jahren – im gesamten Krypto-Space. Die Angst ist nun groß: Wie tief hat Nordkorea den Markt infiltriert? War Drift nur der Anfang – und wen könnte es als nächstes treffen?
Nordkorea spielt Charade
Dass Hackergruppen den Krypto-Space plündern, um Nordkoreas Atomwaffenprogramm zu finanzieren, ist hinlänglich dokumentiert. Weniger bekannt war bis zu dem jüngsten Vorfall, mit welchen Methoden immer häufiger und immer perfider Beteiligte zur Zielscheibe werden.
Bereits im Herbst 2025 nahmen die Angreifer offenbar Kontakt mit Drift auf, als vermeintliche Trading-Firm getarnt, auf einer der vielen branchenüblichen Konferenzen. Sechs Monate ging das Versteckspiel, Beziehungen wurden aufgebaut, Geld in das Projekt investiert. Nichts schien darauf hinzudeuten, dass man es mit gewieften Hackern im Auftrag Nordkoreas zu tun hatte. Denn dafür wurde ebenfalls vorgesorgt: Die direkten Kontaktpersonen stammten selbst wohl nicht aus Nordkorea.
So zog sich die Schlinge allmählich zu. Über manipulierte Links und Anwendungen wurde im Hintergrund Schadsoftware eingeschleust, Entwicklergeräte kompromittiert und letztlich Zugriff auf zentrale Systeme verschafft. Am 1. April schnappte die Falle zu: Rund 280 Millionen US-Dollar wurden gestohlen, die Spuren anschließend verwischt.
Niemand ist sicher
Hierbei an einen Einzelfall zu glauben, sei naiv, meint Taylor Monahan. Laut der Cybersicherheitsforscherin stecke dahinter System: “Viele IT-Fachkräfte aus Nordkorea haben die Protokolle entwickelt, die ihr kennt und schätzt”, kommentierte sie auf X. Über 40 Projekte nennt Monahan, in die über Jahre vermutlich Personal aus Nordkorea eingeschleust wurde, darunter SushiSwap, THORChain, Anchor und Shiba Inu. “Und das ist nur, was mir gerade einfällt”.
Von einem Fall, bei dem sich ein Bewerber für ein Jobangebot später “als Lazarus-Mitarbeiter” herausgestellt habe, berichtete etwa der Gründer der Solana DEX Titan Exchange, Tim Ahhl. Der Kandidat habe “Videoanrufe geführt und sei äußerst qualifiziert gewesen”, lehnte ein persönliches Vorstellungsgespräch jedoch ab. Im Nachhinein wurde seine wahre Identität durch geleakte Daten bekannt.
Wehrt sich der Krypto-Space zu wenig?
Mit Gruppen wie Lazarus hat man es mit staatlich unterstützten Hacker-Kollektiven zu tun, die seit Jahren für einige der größten Krypto-Diebstähle verantwortlich gemacht werden. Schätzungen rechnen mit rund sieben Milliarden US-Dollar, die seit 2017 gestohlen wurden. Prominente Fälle wie der Ronin-Bridge-Hack, der Angriff auf WazirX oder der Bybit-Exploit zeigen, wie professionell die Hacker dabei vorgehen. Jedoch auch, wie eklatant die Sicherheitslücken sind.
Laut dem Krypto-Forensiker ZachXBT tragen die Projekte oftmals eine Mitschuld. Kontaktaufnahme über LinkedIn, Jobangebote oder Videocalls: all das sei nicht besonders ausgeklügelt, aber konsequent umgesetzt. Auch der Drift-Hack hätte laut Anwältin Ariel Givner verhindert werden können, wären grundlegende Sicherheitsstandards eingehalten worden. Ob man den Verantwortlichen laut ihrer Aussage “zivilrechtliche Fahrlässigkeit” vorwerfen kann, wird ein Gericht entscheiden. Eins scheint der Vorfall um Drift aber schon mal gezeigt zu haben: Krypto sitzt auf einem gewaltigen Pulverfass.
