Ripple teilt Informationen über nordkoreanische Hacker mit Kryptosektor

Ripple teilt internes Wissen über nordkoreanische Hacker mit der Krypto-Branche. Das gab das Unternehmen am Montag bekannt. Dieser Schritt markiert einen Wandel im Umgang der Branche mit der sich schnell verändernden Bedrohung aus Nordkorea.

Angriffe verlagern sich von Code auf Menschen

Zwischen 2022 und 2024 zielten die meisten DeFi-Angriffe auf Schwachstellen im Code ab. Hacker nutzten Fehler in Smart Contracts aus, um in kurzer Zeit Millionen an Krypto zu erbeuten.

Da die Sicherheitsvorkehrungen verschärft wurden, verlagert sich die Aufmerksamkeit nun. Angriffe zielen zunehmend auf Menschen statt auf Technologie.

Laut Ripple versuchen nordkoreanische Hacker aktiv, in Kryptounternehmen einzudringen. Sie bewerben sich, durchlaufen Screenings und gewinnen durch Gespräche und Meetings allmählich das Vertrauen. Erst dann schlagen sie zu.

Die Gefahr liegt gerade in dieser Vorgehensweise: Der Angreifer ist bereits im Unternehmen. Dadurch entziehen sich diese Operationen oft den traditionellen Sicherheitssystemen.

Angriff auf Drift war monatelange Infiltration

Ein anschauliches Beispiel ist der Angriff auf die DeFi-Plattform Drift Protocol im April. Dabei wurde keine Schwachstelle im Code gefunden und kein Smart Contract ausgenutzt.

Stattdessen infiltrierten nordkoreanische Hacker monatelang die Organisation. Sie gewannen das Vertrauen der Mitarbeiter, installierten unbemerkt schädliche Software und erhielten so Zugang zu sensiblen Systemen.

Als schließlich 285 Millionen Dollar erbeutet wurden, schlug kein Alarmsystem an. Der Angriff kam von innen und blieb dadurch unentdeckt.

Diese Rekonstruktion stammt laut Ripple und Crypto ISAC, der Kooperationsgruppe für den Informationsaustausch in der Kryptobranche.

Ripple teilt Profile verdächtiger Accounts

Ripple wird künftig mit Crypto ISAC Profilinformationen teilen, die helfen, solche Angriffe schneller zu erkennen. Dazu gehören LinkedIn-Profile, E-Mail-Adressen, Standorte und Telefonnummern.

Mit diesen Daten können Sicherheitsteams Verbindungen zwischen verdächtigen Bewerbern herstellen. So kann jemand, der bei einem Unternehmen abgelehnt wurde, sofort als dieselbe Person erkannt werden, die es bei einem anderen Unternehmen erneut versucht.

„Die stärkste Sicherheit in der Krypto-Branche ist geteilte Sicherheit“, schrieb Ripple auf X. „Ein Angreifer, der bei einem Unternehmen abgelehnt wird, bewirbt sich in derselben Woche bei mehreren anderen Firmen. Ohne den Austausch von Informationen beginnt jedes Unternehmen immer wieder von vorne.“

Rechtsstreit um eingefrorenes Ethereum

Der Einfluss der Lazarus-Gruppe, einer berüchtigten nordkoreanischen Hackerorganisation, reicht inzwischen über reine Cyberangriffe hinaus. Auch rechtliche Verfahren werden davon berührt.

Ein Anwalt, der Opfer nordkoreanischen Terrorismus vertritt, schickte am Montag eine Mahnung an Arbitrum DAO. Ihm zufolge gehört das nach dem Angriff auf Kelp eingefrorene Ethereum in Höhe von 30.765 rechtlich Nordkorea. Damit könnte das Vermögen gemäß US-Recht als Entschädigung für Opfer eingesetzt werden.

Die Kreditplattform Aave widerspricht dieser Argumentation und stellt sich hinter Arbitrum. Laut der Plattform bleibt gestohlene Krypto Eigentum des ursprünglichen Eigentümers. „Ein Dieb wird nicht zum rechtmäßigen Besitzer, indem er etwas stiehlt“, lautet das Argument.

Beim Angriff auf Kelp wurden etwa 292 Millionen Dollar in Ethereum erbeutet, eine Operation, die ebenfalls der Lazarus-Gruppe zugeschrieben wird. Zusammen mit dem Angriff auf Drift steigt der Gesamtbetrag, der innerhalb eines Monats dieser Gruppe zugeschrieben wird, auf mehr als eine halbe Milliarde Dollar.