- Drift Hack verbrauchte 285 Millionen Dollar in 12 Minuten, aber der Betrieb wurde über sechs Monate aufgebaut.
- Die Angreifer nutzten Social Engineering und vorab unterschriebene Multisig-Genehmigungen für den Angriff.
- Ein gefälschter Token (CVT) wurde als Sicherheit verwendet, nachdem die Oracle-Preisgestaltung mit minimaler Liquidität manipuliert worden war.
Das Drift-Protokoll hat eine detaillierte Aufschlüsselung des Exploits vom 1. April veröffentlicht, der 285 Millionen Dollar an Nutzermitteln verbrauchte, und bestätigt, dass der Angriff kein einfacher Fehler, sondern eine langfristige, koordinierte Operation war.
Das Team erklärte , der Exploit sei das Ergebnis monatelanger gezielter Infiltration, die Social Engineering, technische Exploits und inszenierte On-Chain-Aktivitäten kombinierte.
Eine sechsmonatige Infiltration führte zum Breach
Laut Drift Protocol begann der Angriff bereits im Herbst 2025. Personen, die sich als quantitatives Handelsunternehmen ausgaben, wandten sich an Teilnehmer mehrerer Krypto-Konferenzen.
Sie bauten im Laufe der Zeit Glaubwürdigkeit auf, führten technische Diskussionen, nahmen an Arbeitssitzungen teil und zahlten über eine Million Dollar in das Protokoll ein. Eine Telegram-Gruppe wurde gegründet, und die Interaktionen dauerten monatelang an.
Anfang 2026 hatten sie sich durch eine Vault-Strategie vollständig in Drifts Ökosystem integriert. Die Mitwirkenden hatten sie mehrmals persönlich getroffen, und Vertrauen wurde aufgebaut, was zum Einstiegspunkt wurde.
Die Ausführung des Angriffs war schnell, die Einrichtung langsam
Der eigentliche Exploit dauerte etwa 12 Minuten, aber die Vorbereitung dauerte Wochen auf der Kette und Monate außerhalb der Kette.
TRM Labs stellte fest, dass die Inszenierung am 11. März begann. Angreifer nutzten Tornado Cash, um die Operationen zu finanzieren, setzten einen gefälschten Token namens CarbonVote (CVT) ein und bauten durch Wash Trading eine künstliche Preisgeschichte auf.
Gleichzeitig richteten sie sich an Multisig-Unterzeichner. Mit Social Engineering erhielten sie Genehmigungen für Transaktionen, die routinemäßig wirkten, aber versteckte Berechtigungen enthielten.
Am 27. März wurde eine entscheidende Änderung vorgenommen. Drift hat seinen Sicherheitsrat auf eine 2/5-Konfiguration ohne Zeitsperre umgestellt und die Verzögerungsschicht entfernt, die den Angriff hätte stoppen können.
Am 1. April wurde alles umgesetzt. Der Angreifer stellte CVT als Sicherheit auf, erhöhte seinen Wert durch Manipulation von Oracle-Daten und zog reale Vermögenswerte wie USDC in 31 Transaktionen ab. Die Gelder wurden innerhalb weniger Stunden auf Ethereum übertragen.
Wichtige Schwachstellen: Multisig- und Orakeldesign
Der Verstoß beruhte nicht auf einem Smart-Contract-Fehler. Es nutzte Prozessschwächen aus. Erstens genehmigten Multisig-Unterzeichner Transaktionen, ohne versteckte Aktionen zu erkennen.
Zweitens hat die Entfernung der Zeitsperre das Sicherheitsfenster beseitigt. Drittens akzeptierte das Oracle-System einen gefälschten Vermögenswert mit minimaler Liquidität als gültige Sicherheit.
Die interne Überprüfung von Drift weist ebenfalls auf einen möglichen Kompromiss auf Geräteebene hin. Ein Mitwirkender könnte durch ein Repository für bösartigen Code entlarvt worden sein. Ein anderer könnte eine kompromittierte TestFlight-App installiert haben, die als Geldbörse präsentiert wurde.
Eine bekannte Schwachstelle in Entwicklungstools wie VSCode könnte die Ausführung stillen Codes ermöglicht haben.
Es ist wichtig zu beachten, dass sowohl Elliptic als auch TRM Labs Muster im Zusammenhang mit nordkoreanischen Operationen aufgezeigt haben. Dazu gehören der Einsatz von Tornado Cash, Zeiten, die mit den Arbeitszeiten in Pjöngjang übereinstimmen, und schnelle Cross-Chain-Geldwäsche.
Drift sagte, es bestehe mittlere bis hohe Sicherheit, dass dieselbe Gruppe hinter dem Hack von Radiant Capital im Oktober 2024 beteiligt ist. Die Gruppe wird mit UNC4736 in Verbindung gebracht, auch bekannt als AppleJeus oder Citrine Sleet.
Verwandt: Driftprotokollbruch verursacht Verluste von bis zu 285 Millionen US-Dollar, Token sinkt um 42 %
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
