Die dezentrale Börse Drift Protocol auf der Blockchain Solana hat einen massiven Sicherheitsvorfall bestätigt: Am 1. April 2026 wurden rund 285 Millionen US‑Dollar aus dem Protokoll abgezogen. Bemerkenswert an diesem DeFi-Hack ist, dass nicht eine Schwachstelle im Smart Contract, sondern Fehler in Governance‑Prozessen, Multisig-Workflows und Social Engineering den Ausschlag gaben.
DeFi-Hack auf Solana: Wie das Drift Protocol kompromittiert wurde
Laut dem Drift-Team verschaffte sich der Angreifer unautorisierten Zugriff auf administrative Steuerungsrechte des Protokolls. Kern des Angriffs war eine bislang praktisch nicht gesehene Ausnutzung des Solana-Mechanismus durable nonce. Dieser erlaubt es, Transaktionen im Voraus zu signieren und erst später auszuführen, ohne dass die Signatur verfällt.
Der Täter erreichte, dass mehrere Transaktionen im Multisig von befugten Personen vorab signiert wurden, während deren tatsächlicher Zweck verschleiert blieb. Als die Voraussetzungen günstig waren, wurden diese Transaktionen in kurzer Folge ausgeführt. In wenigen Minuten konnte der Angreifer so den Security Council des Protokolls entmachten und sich selbst umfassende Adminrechte zuweisen.
Das Drift-Team betont, dass es keine Hinweise auf Fehler in den Solana-Programmen oder den Smart Contracts des Protokolls gibt und auch keine Kompromittierung von Seed-Phrasen festgestellt wurde. Kritisch waren vielmehr „nicht autorisierte oder irreführend präsentierte Transaktionsfreigaben“, die auf eine gezielte Social-Engineering-Kampagne und einen Missbrauch des Vertrauens in die Multisig-Prozesse schließen lassen.
Angriffsvektor im Detail: Durable Nonce, Multisig und ein fingierter Token
Übernahme der Governance und Aufhebung von Auszahlungsbeschränkungen
Nachdem der Angreifer genügend gültige Signaturen im Multisig gesammelt hatte, leitete er eine Reihe bösartiger Governance-Transaktionen ein. Dadurch wurden die Adminrechte de facto auf ihn übertragen. Mit diesen Rechten hob er Auszahlungslimits auf und passte zentrale Protokollparameter an, wodurch der Weg zur systematischen Leerung von Liquiditätspools frei wurde.
Parallel führte der Täter einen neuen, zuvor nicht vorgesehenen Token in das Protokoll ein. Laut Analysen von TRM Labs handelte es sich um den vollständig fiktiven CarbonVote Token, der lediglich mit einigen tausend US‑Dollar Liquidität ausgestattet und über wash trading künstlich „belebt“ wurde.
Oracle-Manipulation durch Überbewertung eines Fake-Assets
Obwohl der CarbonVote Token real praktisch wertlos war, interpretierten die Oracles von Drift ihn als hochliquiden Vermögenswert mit angeblicher Marktkapitalisierung in dreistelliger Millionenhöhe. Dadurch konnte der Token als überbewertetes Sicherheiten-Asset genutzt werden. Der Angreifer hinterlegte CarbonVote als Collateral, nahm dagegen echte Vermögenswerte auf und transferierte reale Nutzer-Guthaben aus dem System.
TRM Labs vermerkt, dass der Smart Contract für CarbonVote Token um 09:30 Uhr Ortszeit Pjöngjang erstellt wurde – ein Indiz, das zusammen mit weiteren on-chain-Daten in Richtung bestimmter staatlich unterstützter Akteure weist.
Nordkoreanische Krypto-Gruppen im Fokus: TRM Labs und Elliptic
In ihren Untersuchungen kommen TRM Labs und Elliptic unabhängig voneinander zu dem Schluss, dass das on-chain-Verhalten des Angreifers stark mit bekannten Mustern nordkoreanischer Krypto-Gruppierungen übereinstimmt. Erwähnt werden unter anderem die frühe Nutzung des Mixers Tornado Cash, typische Cross-Chain-Bridge-Pfade sowie eine hohe Geschwindigkeit bei der Verschleierung und Abführung der Beute.
Ähnliche Muster wurden bereits beim Bybit-Hack 2025 beobachtet, bei dem laut Branchenberichten etwa 1,46 Milliarden US‑Dollar entwendet wurden. Elliptic schätzt, dass der Angriff auf Drift – sofern der DPRK-Bezug bestätigt wird – bereits die 18. Operation nordkoreanischer Akteure im Jahr 2026 darstellt. Der damit verbundene Schaden beläuft sich allein in diesem Jahr auf über 300 Millionen US‑Dollar, kumulativ sollen DPRK-Gruppen in den vergangenen Jahren mehr als 6,5 Milliarden US‑Dollar in Kryptoassets gestohlen haben.
Social Engineering: DangerousPassword und Contagious Interview
Als häufigster Einstiegspunkt gelten Social-Engineering-Kampagnen, bei denen Angreifer täuschend echte Identitäten, Jobangebote oder Kooperationsanfragen konstruieren. Elliptic verweist insbesondere auf die Kampagnen DangerousPassword (auch bekannt als CageyChameleon, CryptoMimic, CryptoCore) und Contagious Interview, die gezielt Mitarbeiter von Kryptobörsen und DeFi-Projekten ansprechen.
Bis Ende Februar 2026 sollen allein diese beiden Kampagnen etwa 37,5 Millionen US‑Dollar eingebracht haben. Westliche Behörden führen die daraus resultierenden Einnahmen direkt auf die Finanzierung nordkoreanischer Waffenprogramme zurück – ein Muster, das bereits in offiziellen Berichten von US-Behörden und Sanktionslisten festgehalten wurde.
Lieferkettenangriffe und Gruppe UNC1069: Der Axios-Fall als Warnsignal
Vor dem Hintergrund des Drift-Hacks verweisen Sicherheitsexperten zusätzlich auf die Kompromittierung des populären npm-Pakets Axios. Mehrere große Anbieter – darunter Google, Microsoft, CrowdStrike und Sophos – führen diese Supply-Chain-Attacke auf die nordkoreanische Gruppe UNC1069 zurück, die Überschneidungen mit Clustern wie BlueNoroff, CryptoCore, Nickel Gladstone, Sapphire Sleet und Stardust Chollima aufweist.
Sophos berichtet, dass Artefakte aus den Axios-Angriffen identische forensische Metadaten, ähnliche Command-and-Control-Infrastrukturen (C2) und Verbindungen zu Malware aufweisen, die bislang exklusiv der Gruppe Nickel Gladstone zugeordnet wurde. Die Parallelen deuten auf staatlich koordinierte, auf Erlösgenerierung ausgelegte Cyberoperationen mit zunehmend professioneller Arbeitsteilung und Wiederverwendung von Werkzeugketten hin.
Die Drift-Incident zeigt, dass für DeFi-Plattformen nicht nur auditierter Code, sondern vor allem die Absicherung von Governance und Betriebsprozessen geschäftskritisch ist. Robuste Sicherheitsrichtlinien für Multisigs (getrennte Geräte und Vertrauensdomänen für Signierende), verpflichtende Timelocks ohne Ausnahmen, mehrstufige Freigabeprozesse für Adminrechte, unabhängiges Monitoring von Oracle-Anomalien sowie kontinuierliche Schulungen gegen Social Engineering sind unverzichtbar. In einer Lage, in der staatlich unterstützte Angreifer und KI-gestützte Phishing-Kampagnen zunehmen, muss jede Person mit Schlüsselzugriff – Entwickler, Contributor, Security-Council-Mitglied oder Operator – davon ausgehen, ein primäres Ziel zu sein und ihre persönliche wie organisatorische Cybersicherheitsstrategie entsprechend ausrichten.
