Ripple gibt seine internen Erkenntnisse zu nordkoreanischen Bedrohungsakteuren nun an Crypto ISAC weiter, die brancheneigene Gruppe zum Austausch von Bedrohungsdaten — nachdem der Drift-Hack im April mit 285 Millionen Dollar eine Verschiebung in der Methodik der Angreifer offenlegte: weg von Smart-Contract-Exploits, hin zu langfristig angelegtem Social Engineering. Zusammen mit dem ebenfalls Lazarus Group zugeschriebenen Kelp-Bridge-Exploit über 292 Millionen Dollar überschritten die April-Verluste im Zusammenhang mit nordkoreanischen Operativen 577 Millionen Dollar in einem einzigen Monat — und in beiden Fällen war kein On-Chain-Exploit im Spiel.
Warum das wichtig ist
Die DeFi-Diebstahlwelle von 2022 bis 2024 drehte sich um Code: Angreifer fanden Schwachstellen in Smart Contracts und leerten Protokolle innerhalb weniger Minuten. Die aktuelle Welle dreht sich um Menschen. Operative bewerben sich auf Stellen bei Krypto-Firmen, bestehen Background-Checks, tauchen in Zoom-Calls auf und bauen monatelang Vertrauen auf, bevor sie Malware einsetzen, die Private Keys mitnimmt. Wenn die Gelder erst einmal bewegt werden, hat keine herkömmliche Sicherheitskontrolle mehr etwas zu melden — weil der Angreifer längst drin war, legitimiert als Auftragnehmer.
Ripples Beitrag zu Crypto ISAC ist das verbindende Gewebe, das dieses Muster über Firmen hinweg erkennbar macht: LinkedIn-Profile, E-Mail-Adressen, Standorte und Kontaktnummern, die es einem Security-Team ermöglichen, den gerade interviewten Kandidaten als denselben Operativen zu identifizieren, der in derselben Woche bei drei anderen Firmen durch Background-Checks gefallen ist. „Die stärkste Sicherheitshaltung in Krypto ist eine geteilte", schrieb Ripple auf X. „Ein Bedrohungsakteur, der den Background-Check bei einer Firma nicht besteht, bewirbt sich noch in derselben Woche bei drei weiteren. Ohne geteilte Erkenntnisse fängt jedes Unternehmen bei null an."
Auswirkungen auf den Markt
Die Reichweite von Lazarus Group ist mittlerweile sichtbar genug, um Gerichtsverfahren neu zu formen. Am Montag hat ein Anwalt, der Opfer nordkoreanischen Terrorismus vertritt, Sperranzeigen an Arbitrum DAO zugestellt und argumentiert, dass die nach dem Kelp-Bridge-Exploit eingefrorenen 30.765 ETH nach US-Durchsetzungsrecht nordkoreanisches Eigentum seien. Das Lending-Protokoll Aave hielt dagegen zugunsten von Arbitrum und argumentierte, „ein Dieb erlangt nicht schon durch die bloße Wegnahme rechtmäßiges Eigentum an gestohlenem Vermögen".
Ob der branchenweite Austausch von Erkenntnissen die Kampagnen tatsächlich verlangsamt, bleibt die offene Frage.
Häufig gestellte Fragen
-
Wird der branchenweite Austausch von Bedrohungsdaten Lazarus Group tatsächlich ausbremsen?
Die Frage ist offen. Geteilte Profildaten können Firmen helfen, Operative schneller abzuweisen — doch dieselben Operativen könnten parallel bereits in Bewerbungsgesprächen anderswo sitzen. Die April-Verluste zeigen, dass jeder Fehlschlag inzwischen Hunderte Millionen pro Vorfall kostet.