EnglishDer Solana-DEX Drift wurde am 1. April zum Opfer eines massiven Hacks. Nach tagelangen Nachforschungen scheinen sich Experten sicher: Die nordkoreanische Hackergruppe Lazarus soll hinter dem Angriff stecken. Der Vorfall ähnelt dem Konzept des IT-Betrugs. Erstmals setzt Nordkorea auf Kontakte in der Echtwelt. Ganze 285 Millionen US-Dollar konnte Lazarus dieses Mal erbeuten.
Nordkoreanische Hackergruppe Lazarus stiehlt 285 Mio. USD von Drift
Die nordkoreanische Hackergruppe Lazarus hat erneut zugeschlagen und der Kryptobranche ein weiteres Mal einen enormen Schaden zugefügt. Ganze 285 Millionen US-Dollar entwendete Lazarus am 1. April von Drift Protocol, einem DEX des Solana-Ökosystems – so berichtet TRM Labs.
Drift veröffentlichte gestern einen Abschlussbericht zum Vorfall. Die Betreiber des DEX möchten die Branche damit warnen.
“Diese Information wird veröffentlicht, um das Ökosystem bei der Risikominimierung zu unterstützen. Bitte überprüfen Sie die Situation in Ihren Teams, kontrollieren Sie, wer Zugriff auf welche Daten hat, und betrachten Sie jedes Gerät, das mit Ihrer Multisig-Signatur in Berührung kommt, als potenzielles Angriffsziel”, heisst es darin.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Laut bisheriger Erkenntnisse wurde Drift von Personen infiltriert, die im Auftrag von Lazarus handelten. Diese Personen seien entweder Mitglieder der berüchtigten Hackergruppe oder hätten als Mittelsmänner in ihrem Auftrag agiert.
Während Drift von einer normalen Zusammenarbeit ausging, schleusten die als Mitwirkende getarnten Hacker Schadcode in dessen Systeme ein und bereiteten über Monate hinweg die Entwendung der Liquidität vor. Am 1. April erfolgte der Zugriff. Lazarus behielt einmal mehr die Oberhand.
“TRMs Ermittlungen legen nahe, dass der Vorfall vermutlich von nordkoreanischen Hackern verübt wurde”, schreibt TRM Labs.
Sogenannter IT-Betrug zählt längst zu Lazarus’ beliebtesten Methoden, um Gelder zu erbeuten. Erst im März sanktionierten die USA mehrere Personen und Organisationen, die laut Ermittlungsergebnissen im Auftrag von Lazarus agierten.
Sie täuschten US-amerikanische Firmen und entwendeten dann sensible Informationen. Durch Erpressung erwirtschafteten sie allein im Kalenderjahr 2024 ganze 800 Millionen US-Dollar. Die Gelder sollen laut Ermittlungen in die Entwicklung von Massenvernichtungswaffen fliessen.
Krypto-Experten sehen in Drift-Hack Präzedenzfall
Die Vorgehensweise bei sogenanntem IT-Betrug ist grundlegend dieselbe: Personen, die im Auftrag von Lazarus agieren, bewerben sich auf offene Stellen. Die Bewerber streben dabei stets eine Anstellung im Bereich der Informatik an.
Ihre Verbindungen zur Demokratischen Volksrepublik Korea geben sie dabei allerdings nicht an. Stattdessen gaukeln sie eine abweichende Herkunft vor. So geben sie sich gern als Japaner oder Südkoreaner aus.
Das Konzept entfaltet seine Wirkung üblicherweise erst durch eine Anstellung. Informatiker benötigen Zugriffe auf sensible Informationen. Wenn der neue Arbeitgeber diese ausstellt, schlägt Lazarus zu. So werden Internas ausgepäht oder Schadsoftware auf die Systeme ihrer Opfer aufgespielt.
Der Angriff auf Drift erfolgte allerdings auf eine etwas andere Weise und sorgt gerade deshalb für derart grosses Aufsehen. Krypto-Expertin Taylor Monahan warnt die Kryptobranche vor dem Konzept. Laut ihrer Einschätzung könnte Lazarus bereits etliche weitere Firmen durch die Masche infiltriert haben, ohne dass diese davon wissen.
“Ich bitte jeden in der Krypto-Szene, diesen Beitrag vollständig zu lesen. Ich hatte erwartet, dass es sich um einen weiteren Fall von Social Engineering handeln würde (…). Da habe ich mich gewaltig getäuscht. Und die Ausgereiftheit der Operation und der fiktiven Identitäten lässt mich vermuten, dass sie bereits mehrere andere Teams im Visier haben”, schrieb Monahan auf Twitter.
Drift und Monahan sind vor allem vom Umfang der Vorbereitungen beeindruckt. Die Hackergruppe habe ungewöhnlich viel Arbeit geleistet, um ihren Hackern einen realistischen Lebenslauf zu verpassen. Auch ein privates Umfeld habe man erfolgreich inszeniert, um die wahren Hintergründe der Angreifer zu verdecken.
Ganz im Gegensatz zu üblichem IT-Betrug kontaktierten die Angreifer ihre Opfer persönlich. Auf einer Krypto-Konferenz hätten diese im Herbst 2025 Drift-Mitwirkende angesprochen und eine Zusammenarbeit angefragt. Zunächst blieb man monatelang unverdächtig. Erst im März 2026 unterbreiteten die Angreifer Drift bösartigen Programmcode.
Dadurch war es gelungen, zwei Mitarbeiter von Drift mit Viren zu infizieren. Lazarus täuschte Drift zudem, sodass bösartige Transaktionen signiert worden waren. Diese Transaktionen wurden erst eine Woche später durchgeführt – am 1. April.
285 Millionen US-Dollar in Form von USDC und JLP gingen in die Hände der Angreifer über, welche den Grossteil der Beute über eine Token-Bridge zu Ethereum transferierten. Drift stellte seinen Betrieb seither ein. Die Schäden sind möglicherweise irreparabel. Viele Investoren bangen um ihre Anlagen.
