coindesk.com
Wenn Drift legte die Einzelheiten offen hinter seinem $270 Millionen Exploit war der beunruhigendste Teil nicht das Ausmaß des Verlusts — sondern wie es geschah.
Laut dem Team hinter dem Protokoll handelte es sich bei dem Angriff weder um einen Fehler im Smart Contract noch um eine raffinierte Codemanipulation. Es war eine sechsmonatige Kampagne mit gefälschten Identitäten, persönliche Treffen in mehreren Ländern und sorgfältig aufgebautes Vertrauen. Die Angreifer, angeblich aus Nordkorea, fanden nicht nur eine Schwachstelle im System. Sie wurden Teil davon.
Diese neue Bedrohung erzwingt nun eine umfassendere Neubewertung im Bereich der dezentralisierten Finanzen.
Jahrelang betrachtete die Branche Sicherheit als ein technisches Problem, das durch Audits, formale Verifizierung und besseren Code gelöst werden kann. Doch der Vorfall bei Drift deutet auf etwas weit Komplexeres hin: dass die echte Schwachstellen könnten sich vollständig außerhalb des Codebestands befinden.
Alexander Urbelis, Chief Information Security Officer (CISO) bei ENS Labs, argumentiert, dass die Einordnung an sich bereits veraltet ist.
Wir müssen aufhören, diese Vorfälle als ‚Hacks‘ zu bezeichnen, und anfangen, sie beim Namen zu nennen: Geheimdienstoperationen“, sagte Urbelis gegenüber CoinDesk. „Die Personen, die auf Konferenzen erschienen, die Drift-Beitragende persönlich in mehreren Ländern trafen und eine Million Dollar ihres eigenen Geldes einzahlten, um Glaubwürdigkeit aufzubauen: das ist Handwerkskunst des Handelsgeheimdienstes. So etwas erwartet man von einem Falloffizier, nicht von einem Hacker.
Wenn diese Charakterisierung zutrifft, stellt Drift einen neuen Leitfaden dar: einen Ansatz, bei dem Angreifer weniger wie opportunistische Hacker agieren, sondern vielmehr wie geduldige Akteure, die sich sozial verankern, bevor sie einen Schritt onchain unternehmen.
"Nordkorea sucht nicht mehr nach verwundbaren Verträgen. Sie suchen nach verwundbaren Personen... Das ist kein Hacken. Das ist das Einsetzen von Agenten", fügte Urbelis hinzu.
Die Taktiken an sich sind nicht völlig neu.
Ermittlungen haben in den letzten Jahren gezeigt Nordkoreanische Agenten dringen in Krypto-Unternehmen ein, indem sie sich als Entwickler ausgeben, Vorstellungsgespräche bestehen und sogar Positionen unter falschen Identitäten sichern. Doch der Vorfall bei Drift deutet darauf hin, dass sich diese Bemühungen verschärft haben — von der Erlangung des Zugangs über Einstellungsprozesse bis hin zu monatelangen, persönlichen Beziehungsaufbau-Operationen vor der Durchführung eines Angriffs.
'Die Achillesferse'
Diese Veränderung bereitet vielen Sicherheitsverantwortlichen die größte Sorge. Selbst das am strengsten geprüfte Protokoll kann scheitern, wenn ein Beitragender kompromittiert wird.
David Schwed, Chief Operating Officer von SVRN und ehemaliger CISO sowohl bei Robinhood als auch bei Galaxy, betrachtet den Fall Drift als Weckruf.
"Protokolle müssen verstehen, womit sie es zu tun haben. Dies sind keine einfachen Exploits. Es handelt sich um gut geplante, monatelange Operationen mit engagierten Ressourcen, gefälschten Identitäten und einem bewussten menschlichen Element“, sagte Schwed gegenüber CoinDesk. „Dieses menschliche Element ist die Achillesferse vieler Organisationen."
Viele DeFi-Teams sind weiterhin klein, agil und basieren auf Vertrauen. Doch wenn eine Handvoll Personen kritischen Zugriff kontrolliert, kann das Kompromittieren eines Einzelnen bereits ausreichen.
Schwed argumentiert, dass die Reaktion aktualisiert werden muss. „Die Antwort ist ein gut abgesichertes Sicherheitsprogramm, das nicht nur die Technologie, sondern auch die Menschen und den Prozess schützt... Sicherheit muss grundlegend für das Projekt und das Team sein.“
Einige Protokolle passen sich bereits an. Bei Jupiter, einer der größten DeFi-Plattformen von Solana, bleibt die Basis aus Audits und formaler Verifikation bestehen, doch Führungskräfte behaupten, dass dies nicht mehr ausreicht.
"Offensichtlich sind die Sicherung des Codes durch mehrere unabhängige Audits, Open Source und formale Verifikation nur die Grundvoraussetzungen. Die Angriffsfläche hat sich erheblich erweitert," sagte COO Kash Dhanda.
Diese breitere Oberfläche umfasst nun Governance, Beitragende und operative Sicherheit. Jupiter hat den Einsatz von Multisignaturen und Timelocks ausgeweitet und gleichzeitig in Erkennungssysteme sowie interne Schulungen investiert.
"Da Fleisch verwundbarer ist als Code, aktualisieren wir auch die OpSec-Schulungen und die Überwachung für wichtige Teammitglieder“, sagte Dhanda.
Selbst dann fügte er hinzu: „Es gibt keinen Endzustand für Sicherheit“ und Selbstzufriedenheit bleibt das größte Risiko.
Für Protokolle wie dYdX bestätigt der Drift-Vorfall eine Realität, die sich nicht vollständig durch technische Maßnahmen beheben lässt.
„Es ist eine bedauerliche Tatsache, dass Krypto-Projekte zunehmend von staatlich geförderten Akteuren ins Visier genommen werden... Entwickler müssen Vorsichtsmaßnahmen ergreifen, um die Auswirkungen von Social-Engineering-Kompro-mittierungen zu verhindern und abzumildern, aber auch die Nutzer sollten sich bewusst sein, dass angesichts der zunehmenden Raffinesse der Angreifer das Risiko solcher Kompromisse nicht vollständig ausgeschlossen wer-den kann“, sagte David Gogel, COO von dYdX Labs.
Dieses sich entwickelnde Bedrohungsmodell verlagert auch die Verantwortung zunehmend auf die Nutzer selbst.
„Nutzer, die im DeFi-Bereich aktiv sind, sollten sich die Zeit nehmen, die technische Architektur der Protokolle oder Smart Contracts, die ihre Gelder halten, zu verstehen, und in ihre Risikobewertungen die Rolle und Beschaffenheit etwaiger Multisigs für Software-Updates sowie die Möglichkeit einbeziehen, dass diese böswillig kompromittiert werden könnten“, fügte Gogel hinzu.
'Bedrohungsmodell'
Für einige Gründer unterstreicht der Drift-Exploit eine unangenehmere Schlussfolgerung: dass Vertrauen an sich zu einer Schwachstelle geworden ist.
"Der Drift-Exploit war keine Code-Schwachstelle. Es handelte sich um eine sechsmonatige Geheimdienstoperation, die das Vertrauen zwischen Menschen ausnutzte," sagte Lucas Bruder, CEO von Jito Labs.
In der Praxis bedeutet dies, Systeme zu entwerfen, die von einer Kompromittierung ausgehen — nicht nur von Fehlern.
„Smart-Contract-Prüfungen sind Grundvoraussetzung. Die tatsächliche Angriffsfläche besteht aus Ihrem Team, den Multisig-Unterzeichnern und jedem Gerät, das sie verwenden.“
Diese Denkweise wird zunehmend zentral für den Sicherheitsansatz im DeFi-Bereich. Schwed von SVRN erklärt, dass es damit beginnt, nicht nur zu hinterfragen, wie ein Protokoll funktioniert, sondern auch, wie es scheitern könnte.
Beginnen Sie mit einem Bedrohungsmodell. Fragen Sie sich: Wie kann ich ausgenutzt werden? Wenn einer der Projektverantwortlichen kompromittiert wird, wie groß ist der Schadenradius dieses Szenarios?
In diesem Sinne wird der Drift-Exploit vielleicht weniger für die verlorenen Gelder in Erinnerung bleiben als vielmehr dafür, was er offenbarte – dass die größten Risiken im DeFi-Bereich möglicherweise nicht mehr im Code selbst liegen, sondern in den Personen, die ihn verwalten.
Weiterlesen: Wie Nordkorea die Kryptoindustrie infiltrierte