coindesk.com
Elliptic sagte am Donnerstag, dass das Drift Protocol 285 Millionen US-Dollar Exploit, der größte in diesem Jahr, weist „mehrere Hinweise“ auf die Beteiligung der staatlich geförderten nordkoreanischen Hackergruppe DPRK auf.
Das Forschungsunternehmen verwies insbesondere auf On-Chain-Verhalten, Methoden der Geldwäsche und netzwerkbezogene Signale, die alle mit früheren staatlich unterstützten Angriffen in Einklang stehen.
Drift Protocol, dessen Token seit dem Hack um über 40 % auf etwa 0,06 USD gefallen ist, ist die größte dezentrale Perpetual-Futures-Börse auf der Solana-Blockchain.
„Sollte sich dies bestätigen, wäre dieser Vorfall der achtzehnte DPRK-Akt, den Elliptic in diesem Jahr verfolgt hat, mit bisher gestohlenen Beträgen von über 300 Millionen US-Dollar“, heißt es in dem Bericht.
„Es ist eine Fortsetzung der anhaltenden Kampagne Nordkoreas zum groß angelegten Diebstahl von Kryptoassets, die die US-Regierung mit der Finanzierung seiner Waffenprogramme in Verbindung gebracht hat. Akteure mit Verbindungen zur DVRK werden für den Diebstahl von Kryptoassets in Milliardenhöhe in den letzten Jahren verantwortlich gemacht“, fügte Elliptic hinzu.
Stunden zuvor, Arkham-Daten zeigten, dass über 250 Millionen US-Dollar wurde von Drift auf eine Zwischenwallet verschoben, dann auf verschiedene andere Adressen.
Im Dezember, ein Chainalysis-Bericht enthüllt DPRK-Hacker stahlen im Jahr 2025 rekordverdächtige 2 Milliarden US-Dollar an Kryptowährungen, darunter der Bybit-Hack in Höhe von 1,4 Milliarden US-Dollar, was einer Steigerung von 51 % im Vergleich zum Vorjahr entspricht. Das US-Finanzministerium Im letzten Monat wurde berichtet, dass Nordkorea nutzt die gestohlenen Vermögenswerte zur Finanzierung des Massenvernichtungswaffenprogramms des Landes.
Anstatt sich auf den Exploit selbst zu konzentrieren, hebt Elliptics Analyse ein vertrautes operatives Muster hervor. Die Aktivität scheint „voreingenommen und sorgfältig inszeniert“ zu sein, wobei frühe Testtransaktionen und vorab positionierte Wallets dem Hauptereignis vorausgehen.
Der Bericht erklärt, dass die Gelder nach der Ausführung schnell konsolidiert und getauscht, über Ketten hinweg transferiert und in liquidere Vermögenswerte umgewandelt wurden. Dies spiegelt einen strukturierten, wiederholbaren Geldwäscheprozess wider, der darauf ausgelegt ist, die Herkunft zu verschleiern und gleichzeitig die Kontrolle zu behalten.
Eine zentrale Herausforderung, so stellt Elliptic fest, ist das Kontomodell von Solana. Da jede Vermögensposition in einem separaten Token-Konto gehalten wird, kann die Aktivität, die mit einem einzelnen Akteur verbunden ist, fragmentiert über mehrere Adressen erscheinen. Ohne diese zu verknüpfen, laufen Ermittler Gefahr, „Fragmente der Aktivitäten des Angreifers, jedoch nicht das vollständige Bild“ zu sehen.
Hier hebt Elliptics Bericht den Clustering-Ansatz hervor, der Token-Konten wieder mit einer einzelnen Einheit verbindet und es ermöglicht, die Exponierung unabhängig davon zu identifizieren, welche Adresse überprüft wird. Bei einem Vorfall, der mehr als ein Dutzend Vermögensarten umfasst, wird diese Sicht auf Unternehmensebene entscheidend.
Der Fall unterstreicht zudem, fügt Elliptic in seinem Bericht hinzu, wie das Waschen von Geldern mittlerweile grundsätzlich über verschiedene Blockchains hinweg erfolgt. Mittel wurden von Solana zu Ethereum und darüber hinaus transferiert, was den Bedarf an den von Elliptic beschriebenen „ganzheitlichen, plattformübergreifenden Nachverfolgungsmöglichkeiten“ verdeutlicht.