Nordkoreas 577 Millionen Dollar schwerer DeFi-Blitz: Drift und Kelp in 18 Tagen gehackt

Nordkoreanische, staatlich sanktionierte Hacker haben innerhalb eines einzigen Monats zwei der größten Exploits in der Geschichte des dezentralen Finanzwesens (DeFi) durchgeführt und dabei insgesamt über 577 Millionen US-Dollar von Drift Protocol und Kelp DAO entwendet. Blockchain-Analysefirmen, Anbieter von Cross-Chain-Infrastrukturen und unabhängige Sicherheitsforscher haben beide Angriffe – mit unterschiedlichem Grad an Gewissheit – Hackereinheiten zugeschrieben, die unter dem nordkoreanischen Staatsapparat operieren. Dies markiert laut Analysten eine eskalierende, koordinierte Kampagne gegen die DeFi-Infrastruktur.

Der Drift-Protocol-Exploit: Eine sechsmonatige Infiltration

Am 1. April 2026 entwendeten Angreifer etwa 285 Millionen US-Dollar von Drift Protocol – der größten dezentralen Börse für unbefristete Terminkontrakte (Perpetual Futures) auf Solana. Dies war zu diesem Zeitpunkt der größte DeFi-Hackerangriff des Jahres und der zweitgrößte Exploit in der Geschichte von Solana, lediglich übertroffen vom 326 Millionen US-Dollar schweren Hack der Wormhole-Bridge im Jahr 2022. Drifts Post-Mortem-Analyse beschrieb den Angriff als „Ergebnis einer sechsmonatigen Vorbereitung“ und schrieb ihn mit mittlerer Gewissheit UNC4736 zu, einem nordkoreanischen, staatlich gesponserten Bedrohungsakteur, der auch als AppleJeus, Citrine Sleet und Gleaming Pisces bekannt ist – eine Gruppe mit einer dokumentierten Geschichte von Angriffen auf den Kryptosektor seit mindestens 2018. Der Angriffsvektor war kein Fehler im Smart Contract. Stattdessen kombinierte er Social Engineering, Governance-Manipulation und einen eigens erstellten gefälschten Token:

• Zwischen Dezember 2025 und Januar 2026 schleusten sich Agenten, die sich als quantitative Handelsfirma ausgaben, in einen Ecosystem Vault auf Drift ein, reichten Strategiedokumentationen ein und hinterlegten über 1 Million US-Dollar an eigenem Kapital, um Glaubwürdigkeit aufzubauen.
• Der Angreifer erstellte einen fiktiven Token namens CarbonVote (CVT), stattete ihn mit minimaler Liquidität sowie gefälschtem Handelsvolumen aus und manipulierte anschließend die Orakel von Drift, sodass diese ihn als gültige Sicherheit (Collateral) behandelten.
• Zwischen dem 23. und 30. März erlangte der Angreifer 2-von-5-Multisig-Genehmigungen von Mitgliedern des Sicherheitsrats von Drift, indem er sie dazu verleitete, bösartige Transaktionen unter Nutzung der „Durable Nonce“-Funktion von Solana vorab zu signieren. Dies ermöglichte es, dass die Autorisierungen bis zum Tag der Ausführung ruhten.
• Bei der Auslösung am 1. April wurden die Vaults in etwa 12 Minuten geleert, wobei die meisten gestohlenen Gelder innerhalb weniger Stunden über Bridges auf Ethereum transferiert wurden.
• Der DRIFT-Token fiel nach dem Exploit um über 40 %, und der Gesamtwert der gesperrten Einlagen (Total Value Locked) des Protokolls brach von etwa 550 Millionen US-Dollar auf unter 250 Millionen US-Dollar ein. Ein Dutzend Solana-Protokolle mit Abhängigkeiten zu Drift stellten den Betrieb ein.

Der Kelp-DAO-Exploit: Infrastruktur-Vergiftung im großen Stil

Am 18. April fiel Kelp DAO – ein Liquid-Restaking-Protokoll, das Nutzer-ETH über EigenLayer leitet – einem Exploit in Höhe von 292 Millionen US-Dollar zum Opfer. Dieser wurde als das Werk der nordkoreanisch unterstützten Lazarus-Gruppe bestätigt, speziell ihrer TraderTraitor-Untereinheit. Damit wurde Drift als größter einzelner DeFi-Exploit des Jahres 2026 abgelöst. Die Angreifer kompromittierten zwei RPC-Nodes, auf die sich der Verifizierer von LayerZero verließ, um Cross-Chain-Transaktionen zu bestätigen. Sie ersetzten die Node-Software durch bösartige Versionen, die falsche Daten meldeten. Anschließend starteten sie einen Distributed-Denial-of-Service-Angriff (DDoS) gegen die verbleibenden ehrlichen Nodes, was ein Failover auf die kompromittierten Endpunkte erzwang. Dadurch wurde der Verifizierer von LayerZero getäuscht, eine betrügerische Cross-Chain-Transaktion zu genehmigen und 116.500 rsETH an die Angreifer freizugeben. LayerZero schrieb die Sicherheitslücke teilweise der eigenen Sicherheitskonfiguration von Kelp zu: Das Protokoll nutzte ein 1-von-1-Verifizierer-Setup, was bedeutete, dass LayerZero Labs die einzige Instanz war, die Nachrichten von und zur rsETH-Bridge verifizierte – eine Konfiguration, vor der LayerZero nach eigenen Angaben zuvor gewarnt hatte. Die Auswirkungen breiteten sich schnell im DeFi-Sektor aus:

• Der Exploit vom 18. April löste bei Aave einen Abfluss von 10 Milliarden US-Dollar aus, da Besorgnis über potenzielle uneinbringliche Forderungen (Bad Debt) bestand.
• Der Total Value Locked im gesamten DeFi-Sektor fiel in den 24 Stunden nach dem Angriff um etwa 7 %, von rund 99,5 Milliarden US-Dollar auf 86,3 Milliarden US-Dollar.
• Mehrere DeFi-Teams, darunter Ethena, ether.fi, Tron DAO und Curve Finance, pausierten als Reaktion ihre LayerZero Omnichain Fungible Token Bridges.

Eine sich wandelnde und eskalierende Bedrohung

Dieselbe nordkoreanische Einheit hat nun innerhalb von 18 Tagen durch zwei strukturell unterschiedliche Angriffsvektoren mehr als 577 Millionen US-Dollar aus dem DeFi-Sektor entwendet: durch Social Engineering bei den Governance-Unterzeichnern von Drift und durch die Manipulation der Infrastruktur-RPCs bei Kelp. Analysten stellen fest, dass der Kelp-Exploit signalisiert, dass sich die nordkoreanische Lazarus-Gruppe über isolierte Hacks hinaus entwickelt. Sie verlagert ihre Taktik schnell von Social Engineering hin zur Ausnutzung struktureller Schwächen in der Krypto-Infrastruktur – was auf eine anhaltende, staatlich gesteuerte Kampagne statt auf einmalige Vorfälle hindeutet. Sollte die Zuschreibung an die DVRK für beide Vorfälle Bestand haben, würde dies die bestätigte Summe der Krypto-Diebstähle des Regimes für das Jahr 2026 auf über 600 Millionen US-Dollar heben – Einnahmen, welche die US-Regierung zuvor mit den Waffenprogrammen Pjöngjangs in Verbindung gebracht hat. LayerZero hat seitdem angekündigt, keine Nachrichten mehr für Projekte zu signieren, die eine 1-von-1-Verifizierer-Konfiguration nutzen, und beschleunigt die Migration zu Multi-DVN-Setups. Sicherheitsforscher und Protokollentwickler fordern die breitere DeFi-Industrie auf, Governance-Timelocks, tiefgestaffelte Orakel-Verteidigung und Redundanz bei der Cross-Chain-Verifizierung als nicht verhandelbare Basisanforderungen zu betrachten – nicht als optionale Konfigurationen.

Veröffentlicht von Coinplurk.com