Am 1. April 2026 brach auf Solana (SOL) alles zusammen. Drift Protocol wurde mit einem $285-Millionen-Exploit getroffen, und innerhalb von Stunden stürzte sein Token massiv ab. Die Auswirkungen hörten hier nicht auf, sie breiteten sich schnell auf andere verbundene Protokolle aus.
Dieser Zusammenbruch basiert auf Berichterstattung und Analyse von Coin Bureau mit 2,73m susbcibers, die den gesamten Zeitablauf des Exploits abdeckten und wie er sich im Hintergrund entfaltete.
Zuerst gingen die Leute von der üblichen Ursache aus, einem Smart-Contract-Bug oder einem technischen Fehler. Aber das war hier nicht der Fall. Kein Code war kaputt. Keine Schwachstelle wurde ausgenutzt.
Dieser Angriff wurde um Menschen gebaut, nicht um Code.
Die Operation hatte bereits Monate zuvor begonnen, irgendwann im Spätjahr 2025. Sie startete still und leise: Eine Gruppe gab sich als professionelle Trading-Firma aus und trat damit an Drift-Mitwirkende auf Konferenzen heran. Sie wirkten glaubwürdig, sachkundig und tief vertraut sowohl mit Trading als auch mit Infrastruktur.
Im Laufe der Zeit bauten sie Beziehungen auf. Sie schlossen sich privaten Diskussionen an, teilten Ideen und arbeiteten an Strategien zusammen. Um ihr Image zu stärken, deponierten sie sogar über $1 Million auf der Plattform. Dieser eine Schritt ließ sie ernst und vertrauenswürdig wirken.
Schritt für Schritt erarbeiteten sie sich Insiderzugriff, ohne jemals sich gewaltsam Zugang zu verschaffen.
- Wie die Angreifer reinkamen
- Der entscheidende Fehler, der alles möglich machte
- Wie $285M in Minuten abgezogen wurden
- Was das für Crypto bedeutet
Wie die Angreifer reinkamen
Sobald das Vertrauen da war, brachten die Angreifer bösartige Tools ein, getarnt als normale Workflows. Sie teilten ein GitHub-Repository, das wie eine standardmäßige Integration aussah. Doch versteckt darin war Code, der darauf ausgelegt war, das System eines Entwicklers still und heimlich zu kompromittieren, sobald es geöffnet wurde.
Es gab keine Warnungen oder offensichtlichen Anzeichen. Alles wirkte normal.
Doch ein Mitwirkender wurde überzeugt, eine gefälschte Anwendung herunterzuladen – in dem Glauben, sie sei zum Testen einer neuen Wallet gedacht. Das verschaffte den Angreifern tieferen Zugriff auf interne Systeme.
Jetzt waren sie nicht nur am Beobachten, sie waren innerhalb kritischer Infrastruktur, einschließlich der Systeme, die zur Genehmigung von Transaktionen verwendet werden.
_****So sieht der Bittensor (TAO)-Preis aus, wenn er einen $60B KI-Markt erfasst**
Der entscheidende Fehler, der alles möglich machte
Selbst mit diesem Grad an Zugriff benötigten die Angreifer noch eine Möglichkeit, die volle Kontrolle zu übernehmen, ohne gestoppt zu werden. Diese Gelegenheit kam durch einen einfachen, aber ernsten Fehler.
Drift hatte sein administratives Timelock im Zuge eines routinemäßigen Updates entfernt. Normalerweise erzeugt diese Funktion eine Verzögerung, bevor wichtige Aktionen ausgeführt werden, und gibt Teams Zeit, um bei Verdächtigem etwas zu erkennen.
Ohne diese Funktion konnten Transaktionen sofort durchgehen.
Etwa zur gleichen Zeit überzeugten die Angreifer Teammitglieder, Signaturen zu leisten, die wie routinemäßige administrative Transaktionen aussahen. In Wirklichkeit gaben diese Signaturen die volle Kontrolle über das Protokoll ab.
Es wurden keine Alarme ausgelöst.
Wie $285M in Minuten abgezogen wurden
Sobald alles bereit war, ging der Angriff schnell voran. Die Angreifer erstellten ein gefälschtes Token und manipulierten seinen Preis so, dass es so wirkte, als wäre es $1 wert. Anschließend führten sie es als gültige Sicherheit innerhalb des Protokolls auf.
Auf dem Papier sah es so aus, als hätten sie Hunderte von Millionen an Vermögenswerten.
Mit dieser gefälschten Sicherheit begannen sie, echte Assets aus dem System auszuleihen. Große Mengen an Liquidität wurden über mehrere Pools abgezogen, darunter auch große Tokens wie Solana (SOL) und Wrapped Bitcoin.
Innerhalb von Minuten waren bereits über $150 Millionen abgezogen worden. Der Rest folgte kurz danach.
Die gestohlenen Gelder wurden in Stablecoins umgewandelt und vom Netzwerk wegbewegt. Anschließend wurden sie über eine Bridge zu Ethereum transferiert und auf viele Wallets verteilt, wodurch eine Rückholung extrem schwierig wurde.
Sicherheitsfirmen verknüpften den Angriff später mit einer nordkoreanischen Gruppe, die für ähnliche Operationen bekannt ist. Das war nicht zufällig und auch nicht überstürzt. Es war über Monate geplant und mit Präzision ausgeführt.
Die gleiche Gruppe wurde bereits mit früheren Exploits in Verbindung gebracht, aber dieser zeigte ein höheres Maß an Koordination und ein größeres Ausmaß.
Was das für Crypto bedeutet
Dieser Vorfall verlagert den Fokus der Sicherheit in Crypto. Seit Jahren ist die wichtigste Sorge Smart-Contract-Schwachstellen. Projekte investierten stark in Audits und Code-Reviews, und Drift war keine Ausnahme.
Aber dieser Angriff zielte nicht auf den Code ab. Er zielte auf Vertrauen.
Entwickler, Mitwirkende und interne Prozesse wurden zu den Einstiegspunkten. Die Angreifer haben das System nicht gebrochen, sie haben sich darum herum gearbeitet, indem sie menschliche Interaktion ausnutzten.
Das verändert, wie Sicherheit in Zukunft angegangen werden muss.
Der Verlust von $285 Millionen ist mehr als nur ein weiterer Exploit. Er zeigt, dass selbst gut auditiere Systeme scheitern können, wenn die menschliche Ebene offengelegt wird.
DeFi geht nicht mehr nur um sicheren Code. Es geht darum, die Menschen und Prozesse dahinter abzusichern. Und wie dieser Fall zeigt, könnte das der härteste Teil sein, den man schützen kann.
