Die nordkoreanische Gruppe Lazarus (TraderTraitor) steckt hinter dem Hack des DeFi-Protokolls Drift, bei dem 280 Millionen US-Dollar erbeutet wurden, wie Experten von Diverg, TRM Labs und Elliptic herausfanden. Dasselbe Team hatte zuvor bereits Bybit (1,5 Milliarden US-Dollar) und Ronin (625 Millionen US-Dollar) angegriffen.
1/10
Wir untersuchen die Sicherheitslücke @DriftProtocol (285 Mio. US-Dollar) seit dem 1. April.
Wir können von TRM Labs und Elliptic bestätigen, dass die nordkoreanische Lazarus-Gruppe (TraderTraitor) – dasselbe Team, das auch hinter Bybit (1,5 Mrd. USD) und Ronin (625 Mio. USD) steht – beteiligt war.
Hier die Ergebnisse unserer unabhängigen On-Chain-Analyse…
— Diverg (@DivergSec) 3. April 2026
Der Angreifer hat die Mehrfachsignatur nicht einfach nur einmal kompromittiert, wie die Entwickler des betroffenen Projekts zunächst angenommen hatten.
Am 27. März aktualisierte Drift seine Sicherheitsratsregeln, sodass nun zwei von fünf Signaturen zur Bestätigung einer Transaktion erforderlich waren und die Ausführung sofort erfolgte. Innerhalb von drei Tagen gelang es einem Angreifer jedoch erneut, das neue Multisignatursystem zu kompromittieren und einen Mechanismus mit verzögerter Signatur zu verwenden.
Vorbereitung auf den Angriff
Der Hacker begann am 11. März mit den Vorbereitungen für den Angriff. Um 15:24 Uhr Pjöngjang-Zeit hob er dann 10 ETH mit Tornado Cash ab. Die Gelder wurden über eine Kette von Einweg-Wallets und Cross-Chain-Bridges transferiert.
Am 12. März erhielt die Token-Ausgabeadresse 50 SOL, und bis 9:58 Uhr KST hatte der Angreifer 750 Millionen gefälschte CVT-Coins erzeugt. Dieselbe Adresse wurde auch im BSC-Netzwerk verwendet. Dort wurden ihr 31.125 BNB über eine signierte Transaktion mit MetaWallet gutgeschrieben, woraufhin die Gelder denselben Weg wie bei Ethereum nahmen.
Frühere Berichte behaupteten fälschlicherweise, dass 30 ETH aus drei Abhebungen über Tornado Cash zur Finanzierung des Angriffs verwendet wurden. Experten stellten klar, dass nur eine Transaktion über 10 ETH dem Angreifer gehörte. Die beiden anderen waren mit einem Adressvergiftungsdienst verbunden.
Geld abheben
Nach dem Hack stellte Diverg die vollständige Auszahlungsstrategie über die öffentliche CoW-Protokoll-API wieder her. Innerhalb von 30 Minuten platzierte der Angreifer 10 Aufträge über die CoW-Swap-Weboberfläche und tauschte dabei 14,6 Millionen USDC und 99,8 WBTC in etwa 13.150 ETH um. Alle 10 Transaktionen wurden in der Blockchain bestätigt.
Die sekundäre Wallet erhielt Gelder aus zwei Quellen: 390,86 ETH aus Chainflip Vault und 846.000 USDC via Circle CCTP (später über das CoW-Protokoll in 397 ETH umgewandelt). Insgesamt flossen 788 ETH an die Verwahradresse.
Verhaltensprofil
Alle bestätigten Aktionen des Hackers stehen im Zusammenhang mit den Geschäftszeiten in Pjöngjang und wurden ausschließlich an Wochentagen durchgeführt.
Die Methoden der Gruppe entsprechen voll und ganz dem bekannten Lazarus-Profil: Vorbereitung mittels Tornado Cash, Social Engineering (gefälschte Stellenangebote, wie im Fall von Bybit SafeWallet), schneller Geldtransfer über mehrere Blockchains in Ethereum und Einbehaltung der gestohlenen Vermögenswerte.
Diesmal wandten die Angreifer jedoch eine neue Taktik an: Sie gaben gefälschte CVT-Token aus und veränderten die Oracle-Daten, um den Wert der Sicherheiten künstlich in die Höhe zu treiben.
Laut Elliptic war der Drift-Hack der 18. Lazarus-Angriff seit Anfang 2026.
Zur Erinnerung: Im März wurde eine nordkoreanische Gruppe verdächtigt, den Online-Kryptowährungsladen Bitrefill angegriffen zu haben.