Am 1. April 2026 zerfielen die Dinge auf Solana (SOL). Der Drift Protocol wurde mit einem $285 Millionen Exploit getroffen, und innerhalb weniger Stunden stürzte sein Token massiv ab. Die Auswirkungen hörten nicht dort auf, sie griffen schnell auf andere verbundene Protokolle über.
Diese Aufschlüsselung basiert auf Berichterstattung und Analyse von Coin Bureau mit 2,73 Mio. susbcibers, die den gesamten Zeitverlauf des Exploits abdeckten und wie er sich im Hintergrund entfaltete.
Zunächst gingen die Leute von der üblichen Ursache aus: ein Smart-Contract-Bug oder ein technischer Fehler. Doch das war hier nicht der Fall. Kein Code war kaputt. Keine Schwachstelle wurde ausgenutzt.
Dieser Angriff wurde um Menschen gebaut, nicht um Code.
Die Operation begann vor Monaten, irgendwann im späten 2025. Sie startete still, mit einer Gruppe, die sich als professionelles Handelsunternehmen ausgab und Drift-Mitwirkende auf Konferenzen ansprach. Sie wirkten glaubwürdig, sachkundig und waren mit sowohl Trading als auch Infrastruktur bestens vertraut.
Im Laufe der Zeit bauten sie Beziehungen auf. Sie nahmen an privaten Diskussionen teil, teilten Ideen und arbeiteten an Strategien zusammen. Um ihr Image zu stärken, zahlten sie sogar über $1 Million in die Plattform ein. Dieser eine Schritt ließ sie ernsthaft und vertrauenswürdig wirken.
Schritt für Schritt erarbeiteten sie sich Insider-Zugang, ohne jemals ihren Weg mit Gewalt hineinzudrängen.
- Wie die Angreifer hineinkamen
- Der entscheidende Fehler, der alles möglich machte
- Wie $285M in Minuten abgezogen wurden
- Was das für Krypto ändert
Wie die Angreifer hineinkamen
Sobald das Vertrauen da war, führten die Angreifer bösartige Tools ein, die als normale Workflows getarnt waren. Sie teilten ein GitHub-Repository, das wie eine standardmäßige Integration aussah. Doch versteckt darin war Code, der dafür entwickelt war, das System eines Entwicklers still und leise zu kompromittieren, sobald es geöffnet wurde.
Es gab keine Warnungen oder offensichtlichen Anzeichen. Alles wirkte normal.
Doch ein Mitwirkender wurde überzeugt, eine gefälschte Anwendung herunterzuladen, in dem Glauben, sie sei zum Testen einer neuen Wallet gedacht. Das gab den Angreifern tieferen Zugriff auf interne Systeme.
Jetzt waren sie nicht nur am Beobachten, sie waren in kritischer Infrastruktur, einschließlich der Systeme, die verwendet werden, um Transaktionen zu genehmigen.
_****So wäre der Bittensor (TAO)-Preis, wenn er einen $60B-AI-Markt erfasst**
Der entscheidende Fehler, der alles möglich machte
Selbst mit diesem Zugriff mussten die Angreifer noch einen Weg finden, die volle Kontrolle zu übernehmen, ohne gestoppt zu werden. Diese Gelegenheit ergab sich aus einem einfachen, aber ernsten Fehler.
Drift hatte sein administratives Timelock im Rahmen eines routinemäßigen Updates entfernt. Normalerweise sorgt dieses Feature für eine Verzögerung, bevor wichtige Aktionen ausgeführt werden, und gibt Teams Zeit, etwas Verdächtiges zu erkennen.
Ohne es konnten Transaktionen sofort durchgehen.
Ungefähr zur gleichen Zeit überzeugten die Angreifer Teammitglieder, Signaturen zu leisten, die wie routinemäßige administrative Transaktionen aussahen. In Wirklichkeit übergaben diese Signaturen die volle Kontrolle über das Protokoll.
Es wurden keine Alarme ausgelöst.
Wie $285M in Minuten abgezogen wurden
Sobald alles bereit war, ging der Angriff schnell voran. Die Angreifer erstellten einen gefälschten Token und manipulierten dessen Preis so, dass er so wirkte, als sei er $1 wert. Dann listeten sie ihn als gültiges Sicherheitenmittel innerhalb des Protokolls auf.
Auf dem Papier sah es so aus, als hätten sie Hunderte von Millionen an Vermögenswerten.
Mit dieser gefälschten Sicherheit begannen sie, echte Assets aus dem System auszuleihen. Große Mengen an Liquidität wurden über mehrere Pools abgezogen, darunter große Tokens wie Solana (SOL) und Wrapped Bitcoin.
Innerhalb weniger Minuten waren bereits über $150 Millionen abgezogen. Der Rest folgte kurz danach.
Die gestohlenen Gelder wurden in Stablecoins umgewandelt und vom Netzwerk wegbewegt. Anschließend wurden sie zu Ethereum gebridget und auf viele Wallets verteilt, wodurch eine Rückholung extrem schwierig wurde.
Sicherheitsfirmen stellten später den Angriff mit einer nordkoreanischen Gruppe in Verbindung, die dafür bekannt ist, ähnliche Operationen durchzuführen. Das war nicht zufällig oder überstürzt. Es war über Monate geplant und mit Präzision umgesetzt.
Die gleiche Gruppe wurde mit früheren Exploits in Verbindung gebracht, doch dieser hier zeigte ein höheres Maß an Koordination und Umfang.
Was das für Krypto ändert
Dieser Vorfall verlagert den Fokus der Sicherheit in Krypto. Seit Jahren ist die größte Sorge Smart-Contract-Schwachstellen. Projekte investierten stark in Audits und Code-Reviews, und Drift war keine Ausnahme.
Aber dieser Angriff zielte nicht auf den Code. Er zielte auf Vertrauen.
Entwickler, Mitwirkende und interne Prozesse wurden zu den Einstiegspunkten. Die Angreifer brachen das System nicht, sie arbeiteten sich daran vorbei, indem sie menschliche Interaktionen ausnutzten.
Das verändert, wie Sicherheit künftig angegangen werden muss.
Der Verlust von $285 Millionen ist mehr als nur ein weiterer Exploit. Er zeigt, dass selbst gut-auditierten Systemen etwas passieren kann, wenn die menschliche Ebene exponiert ist.
DeFi geht nicht mehr nur darum, sicheren Code zu haben. Es geht darum, die Menschen und Prozesse dahinter abzusichern. Und wie dieser Fall zeigt, könnte das der schwierigste Teil sein, um ihn zu schützen.
