Hack des Drift-Protokolls 2026: Was geschah, wer verlor Geld und wie geht es weiter?

Die nordkoreanische Lazarus-Gruppe steht im Verdacht, 286 Millionen Dollar bei Drift Protocol gestohlen zu haben

Drift Protocol, die größte dezentrale Perpetual-Futures-Börse im Solana-Netzwerk, bestätigte den Angriff, nachdem der Total Value Locked (TVL) an einem einzigen Vormittag von rund 550 Millionen Dollar auf unter 250 Millionen Dollar eingebrochen war und nun bei 232 Millionen Dollar liegt. Bitcoin.com News berichtete als erstes über den Vorfall. Der DRIFT-Token fiel in den folgenden Stunden um 37 % bis 42 % und erreichte einen Tiefststand von 0,04 bis 0,05 US-Dollar.

Berichten zufolge begann der Angriff nicht mit einem Codefehler, sondern mit einer Auszahlung über Tornado Cash. Am 11. März zog der Angreifer ETH aus dem auf Ethereum basierenden Datenschutzprotokoll ab und nutzte diese Mittel, um am 12. März den Carbonvote-Token (CVT) zu deployen. Blockchain-Analysten stellten fest, dass der Zeitstempel des Deployments ungefähr 09:00 Uhr Pyongyang-Zeit entsprach – ein Detail, das sofort Alarm auslöste.

Mehrere Berichte beschreiben, dass der Angreifer in den folgenden drei Wochen minimale Liquidität für CVT auf der dezentralen Börse Raydium bereitstellte und Wash-Trading einsetzte, um einen Preis nahe 1,00 $ aufrechtzuerhalten. Die Oracles von Drift werteten diesen Preis als legitim ein. Der Angreifer hatte gefälschte Sicherheiten aufgebaut, die für jedes automatisierte System, das sie überwachte, echt aussahen.

„Heute früh verschaffte sich ein böswilliger Akteur durch einen neuartigen Angriff unter Verwendung von dauerhaften Nonces unbefugten Zugriff auf das Drift-Protokoll, was zu einer raschen Übernahme der Verwaltungsbefugnisse des Drift-Sicherheitsrats führte“, schrieb das Drift-Team. Der X-Account des Projekts fügte hinzu:

„Dies war eine äußerst ausgeklügelte Operation, die offenbar eine mehrwöchige Vorbereitung und eine schrittweise Durchführung erforderte, einschließlich der Verwendung von Durable-Nonces-Konten zur Vorab-Signierung von Transaktionen, die die Ausführung verzögerten.“

Angeblich wechselte der Drift-Angreifer zwischen dem 23. und 30. März auf die menschliche Ebene. Unter Verwendung einer legitimen Solana-Funktion namens „durable nonces“ veranlasste der Angreifer Berichten zufolge Mitglieder des Multisig-Sicherheitsrats von Drift dazu, Transaktionen vorab zu signieren, die routinemäßig erschienen. Diese Signaturen wurden zu vorab genehmigten Zugriffsschlüsseln, die in Reserve gehalten wurden, bis der Angreifer bereit war.

Die Lücke schloss sich am 27. März, als Drift seinen Sicherheitsrat auf eine 2-von-5-Signaturschwelle umstellte und die Zeitverriegelung vollständig aufhob. Eine Zeitverriegelung erzwingt typischerweise eine Verzögerung von 24 bis 72 Stunden bei administrativen Maßnahmen, was der Community Zeit gibt, verdächtige Vorgänge zu erkennen und rückgängig zu machen. Ohne diese Verriegelung verfügte der Angreifer über eine Ausführungsbefugnis ohne Verzögerung. Die vorab signierten Transaktionen wurden in dem Moment aktiv, als die Zeitverriegelung wegfiel.

Am 1. April aktivierte der Angreifer diese Transaktionen, listete CVT als gültige Sicherheit auf, erhöhte die Auszahlungslimits und zahlte Hunderte Millionen an CVT-Token ein, gegen die Drifts Risikomotor reale Vermögenswerte ausgab. Das Protokoll übergab Millionen an JLP-Token, Millionen an USDC, Millionen an SOL sowie kleinere Beträge an Wrapped Bitcoin und Ethereum. Einunddreißig Auszahlungstransaktionen wurden in etwa 12 Minuten abgewickelt.

Der Angreifer wandelte die gestohlenen Token mithilfe von Jupiter in USDC um, übertrug sie auf Ethereum und tauschte sie in Zehntausende von ETH um. Ein Teil der Gelder wurde über Hyperliquid weitergeleitet, ein anderer Teil ging direkt an Binance. Am 3. April sendete Drift eine On-Chain-Nachricht von einer Ethereum-Adresse an vier vom Hacker kontrollierte Wallets. Die Publikation cryptonomist.ch berichtet, dass die Nachricht lautete:

„Wir sind bereit zu sprechen.“

Die Sicherheitsfirmen Elliptic und TRM Labs haben den Angriff auf mit Nordkorea verbundene Akteure zurückgeführt und dabei den Ursprung bei Tornado Cash, die Signatur des Einsatzes zur Pyongyang-Zeit, den Fokus auf Social Engineering sowie die Geschwindigkeit der Geldwäsche nach dem Hack angeführt. Die Lazarus-Gruppe wandte denselben geduldigen und auf Menschen ausgerichteten Ansatz beim Ronin-Bridge-Hack im Jahr 2022 an. Die US-Regierung hat diese Diebstähle mit der Finanzierung des nordkoreanischen Waffenprogramms in Verbindung gebracht, und Elliptic hat allein im ersten Quartal 2026 gestohlene Gelder in Höhe von über 300 Millionen US-Dollar nachverfolgt. Die Ansteckung breitete sich auf mehr als 20 Protokolle aus. Prime Numbers Fi meldete Verluste in Millionenhöhe. Carrot Protocol stellte die Funktionen zum Schöpfen und Einlösen von Token ein, nachdem 50 % seines TVL betroffen waren. Pyra Protocol deaktivierte Auszahlungen vollständig, wodurch alle Nutzergelder unzugänglich wurden. Piggybank verlor 106.000 US-Dollar und entschädigte die Nutzer aus der eigenen Teamkasse. DeFi Development Corp., ein an der Nasdaq notiertes Unternehmen mit einer Solana-Treasury-Strategie, bestätigte am 1. April, dass es kein Drift-Engagement hatte. Sein Risikokonzept schloss das Protokoll vollständig aus. Diese Tatsache erregte mehr Aufmerksamkeit, als das Unternehmen wahrscheinlich beabsichtigt hatte.

Der Drift-Vorfall lieferte eine klare Lektion, die den meisten in der Branche bereits bekannt war, aber noch nicht vollständig umgesetzt wurde: Eine zeitliche Sperre ist kein optionales Extra. Die Aufhebung dieser einzigen Sicherheitsvorkehrung am 27. März verwandelte einen komplexen, mehrere Wochen andauernden Angriff in eine 12-minütige Auszahlung. Protokoll-Governance ohne Verzögerungsmechanismus ist Governance mit offener Tür.

Die nächsten 48 Stunden nach dem DeFi-Angriff wurden als entscheidend für die Fähigkeit von Drift beschrieben, das Vertrauen der Nutzer zu bewahren und einen Weg zur Wiederherstellung zu finden. Bis zum 3. April war noch kein umfassender Rückerstattungsplan angekündigt worden.

FAQ 🔎

• Was ist mit dem Drift-Protokoll passiert? Angreifer entzogen dem Drift-Protokoll am 1. April 2026 286 Millionen US-Dollar, indem sie gefälschte Sicherheiten und vorab signierte administrative Transaktionen nutzten, um die Kern-Tresore des Protokolls innerhalb von 12 Minuten zu leeren.
• Wer ist für den Hack des Drift-Protokolls verantwortlich? Sicherheitsfirmen wie Elliptic und TRM Labs haben den Angriff auf mit Nordkorea verbundene Akteure zurückgeführt und dabei Geldwäschemuster sowie On-Chain-Zeitstempel angeführt, die mit den Vorgehensweisen der Lazarus-Gruppe übereinstimmen.
• Ist mein Geld bei Drift Protocol sicher? Drift hat nach dem Angriff alle Ein- und Auszahlungen ausgesetzt; Nutzer betroffener Protokolle wie Pyra und Carrot können seit dem 3. April 2026 weiterhin nicht auf ihre Gelder zugreifen.
• Was ist ein „Durable Nonce“-Angriff in Solana DeFi? Ein „Durable Nonce“-Angriff nutzt eine legitime Solana-Funktion, um Transaktionen, die routinemäßig erscheinen, vorab zu signieren und sie als aktive Autorisierungsschlüssel zu speichern, bis der Angreifer beschließt, sie auszuführen.