Drift Protocol gehackt – 285 Millionen Dollar erbeutet: Was lief schief und wie geht es weiter?
Drift Protocol verlor am 1. April 2026 durch einen Exploit auf Solana 285 Millionen US-Dollar. Hier erfahren Sie genau, wie der Angriff ablief, wohin die Gelder flossen und welche Auswirkungen dies auf die Sicherheit von DeFi-Unternehmen hat.
Soumen Datta
2. April 2026
(Werbung)
Inhaltsverzeichnis
Am 1. April 2026 wurde das auf Solana basierende Drift-Protokoll um rund 285 Millionen US-Dollar gehackt. Dies war der bis dato größte DeFi-Hack des Jahres. Der Angreifer nutzte eine mehrwöchige Strategie mit einem gefälschten Token, manipulierten Kursdaten und vorab signierten Transaktionen, um die Kontrolle über das Protokoll zu erlangen und anschließend innerhalb von weniger als zwölf Minuten die Gelder der Nutzer zu stehlen.
#PeckShieldAlert Drift-Protokoll @DriftProtocol wurde ausgenutzt, was zu einem Verlust von über 285 Millionen Dollar führte – mehr als 50 % des TVL. $DRIFT ist um -37% eingebrochen.
—PeckShieldAlert (@PeckShieldAlert) 2. April 2026
Der Ausbeuter hat die gestohlenen Vermögenswerte bereits miteinander verbunden #Fading zu #Ethereum über den CCTP TokenMessengerMinterV2,… pic.twitter.com/EZE4tP0f6c
Was geschah am 1. April mit dem Drift-Protokoll?
Der Angriff kam nicht aus dem Nichts. Laut dem Drift Protocol-Team war er das Ergebnis tagelanger Vorbereitung, die erst sichtbar wurde, als der Schaden bereits angerichtet war.
Der Gesamtwert der gebundenen Vermögenswerte (TVL) von Drift sank von rund 550 Millionen US-Dollar auf unter 300 Mio. US$ in weniger als einer Stunde. Der DRIFT-Token fiel während des Vorfalls um mehr als 40 %. Sicherheitsfirma PeckShield bestätigt Der Verlust überstieg 285 Millionen US-Dollar und entsprach damit mehr als 50 % des TVL des Protokolls zu diesem Zeitpunkt.
Der Zeitpunkt sorgte sofort für Verwirrung. Das Team von Drift postete auf X, um klarzustellen, dass die Situation ernst war: „Dies ist kein Aprilscherz. Seien Sie bis auf Weiteres vorsichtig.“
Gemäß dem Protokoll wurden mit Beginn der Untersuchung alle Ein- und Auszahlungen ausgesetzt.
Wie konnte der Angreifer die Sicherheitslücke Tage im Voraus einrichten?
Laut Berichten verbrachte der Angreifer mindestens neun Tage damit, die Voraussetzungen für den Diebstahl zu schaffen, bevor er ihn ausführte.
Die gefälschte Token- und die Orakelfalle
Der Angreifer erstellte ein Token namens CarbonVote Token (CVT)Sie prägten etwa 750 Millionen Einheiten. Sie starteten einen Liquiditätspool auf Raydium mit nur 500 US-Dollar und nutzten Wash-Trading – den Kauf und Verkauf des Tokens zwischen ihren eigenen Wallets –, um einen gefälschten Preisverlauf nahe 1 US-Dollar zu erzeugen. Im Laufe der Zeit übernahmen On-Chain-Preis-Orakel diesen künstlichen Preis und behandelten CVT als legitimen Vermögenswert im Wert von etwa 1 US-Dollar pro Token.
Ein Orakel ist ein Dienst, der externe Preisdaten in einen Smart Contract einspeist. Wenn einem Orakel manipulierte Daten zugeführt werden, kann der Smart Contract nicht erkennen, dass der Preis gefälscht ist.
Der dauerhafte Pance-Angriff
Unabhängig davon nutzte der Angreifer eine Solana-Funktion namens „Durable Nonces“, um Transaktionen vorab zu signieren und deren Ausführung zu verzögern. Ein Durable Nonce ersetzt den normalen Ablaufmechanismus von Transaktionen und ermöglicht es, eine signierte Transaktion aufzubewahren und zu einem beliebigen Zeitpunkt in der Zukunft zu übermitteln.
Entdecken Sie vielversprechende Projekte...
Vielversprechende Projekte...
(Werbung)
Die Zeitleiste:
- 23. März: Es wurden vier dauerhafte Nonce-Konten erstellt. Zwei davon waren mit echten Mitgliedern des Drift Security Council Multisig verknüpft. Zwei wurden vom Angreifer kontrolliert.
- 27. März: Drift hat seinen Sicherheitsrat aufgrund einer geplanten Mitgliederänderung migriert. Der Angreifer erlangte auch Zugriff auf zwei Unterzeichner im aktualisierten Multisig-System.
- 30. März: Für ein Mitglied des aktualisierten Multisignatur-Netzwerks wurde ein neues dauerhaftes Nonce-Konto erstellt.
- 1. April: Der Angreifer führte zwei vorab signierte, dauerhafte Nonce-Transaktionen im Abstand von vier Zeitschlitzen aus und vollzog so eine Administratorübertragung, die ihm die Kontrolle über Berechtigungen auf Protokollebene verschaffte.
Nachdem der Angreifer sich Administratorzugriff verschafft hatte, listete er CVT als gültigen Markt auf Drift auf, entfernte alle Auszahlungslimits, hinterlegte Hunderte Millionen CVT-Token als Sicherheit und führte dann in etwa 12 Minuten 31 schnelle Auszahlungen durch, die reale Vermögenswerte wie USDC, JLP, SOL, Wrapped BTC, Jito (JTO) und den Memecoin Fartcoin (FRT) abzogen.
Drift bestätigte, dass der Angriff nicht auf einen Fehler in seinen Smart Contracts oder auf kompromittierte Seed-Phrasen zurückzuführen war. Stattdessen handelte es sich um „unautorisierte oder falsch dargestellte Transaktionsgenehmigungen, die vor der Ausführung eingeholt wurden“.
Sicherheitsüberprüfungen durch Trail of Bits im Jahr 2022 und ClawSecure im Februar 2026 hatten Drift zwar für unbedenklich erklärt, doch keine der beiden Überprüfungen erkannte die Markteinführung von CVT oder die Governance-Änderungen, die den Angriff ermöglichten.
Wohin sind die gestohlenen Gelder geflossen?
Nach dem erfolgreichen Ausnutzen der Sicherheitslücke beeilte sich der Angreifer, die Spuren zu verwischen.
Die gestohlenen Vermögenswerte wurden in USDC und SOL umgewandelt und anschließend mithilfe des Cross-Chain Transfer Protocol (CCTP) von Circle von Solana zu Ethereum transferiert. Auf Ethereum tauschte der Angreifer die Gelder in ETH um. Laut On-Chain-Tracking erbeutete der Angreifer letztendlich 129,066 ETH, was einem Wert von etwa … entspricht. 273 Mio. US$ an der Zeit.
Der Angreifer zahlte außerdem SOL sowohl bei HyperLiquid als auch bei Binance ein, was die Rückverfolgung über mehrere Plattformen und Wallets hinweg erschwerte.
Hat Circle genug getan, um den Diebstahl zu verhindern?
On-Chain-Ermittler ZachXBT öffentlich kritisiert Circle wies nach dem Exploit darauf hin, dass große Mengen gestohlener USDC während der US-Geschäftszeiten von Solana zu Ethereum transferiert wurden, ohne eingefroren zu werden.
Circle schlief, während während der US-Geschäftszeiten über Stunden hinweg Millionen von USDC über CCTP von Solana zu Ethereum aus dem neunstelligen Drift-Hack transferiert wurden.
— ZachXBT (@zachxbt) 2. April 2026
Der Wert wurde verschoben und wieder einmal ist nichts passiert.
Das geschieht nur wenige Tage, nachdem Sie über 16 geschäftliche Hot Wallets inkompetent eingefroren haben, was immer noch… pic.twitter.com/T0Xwg1HIfO
ZachXBT stellte dieser Reaktion die jüngste Entscheidung von Circle gegenüber, 16 unabhängige Firmen-Hot-Wallets in einem versiegelten US-Zivilverfahren einzufrieren, und argumentierte, dass Circle sowohl die Möglichkeit als auch den Präzedenzfall gehabt hätte, einzugreifen, aber nicht schnell genug gehandelt habe, um den Schaden zu begrenzen.
Welche Protokolle waren über die Drift hinaus betroffen?
Die Auswirkungen waren im gesamten DeFi-Ökosystem von Solana spürbar. Mehrere mit der Drift-Liquidität verbundene Plattformen stellten ihren Betrieb ein oder meldeten Verluste:
- PiggyBank_fi meldete ein Engagement von rund 106,000 US-Dollar durch delta-neutrale Strategien und deckte Nutzer direkt mit Teamgeldern ab.
- Reflect Money hat die Ausgabe und Einlösung von USDC+ und USDT+ ausgesetzt.
- Ranger Finance hat die Annahme von Ein- und Auszahlungen bei RGUSD gestoppt; das geschätzte Risiko liegt bei über 900,000 US-Dollar.
- Project0 hat vorsorglich die Aufnahme von Krediten gegen Drift-Positionen eingestellt.
- TradeNeutral, GetPyra, xPlace, Uselulo und Elemental DeFi haben allesamt wichtige Funktionen pausiert oder eine eingeschränkte Verfügbarkeit gemeldet.
- Jupiter Exchange bestätigte, dass der JLP-Pool weiterhin vollständig gedeckt ist.
Wie geht es mit Drift weiter?
Drift arbeitet mit mehreren Sicherheitsfirmen, Börsen, Zahlungsbrücken und Strafverfolgungsbehörden zusammen, um gestohlene Vermögenswerte aufzuspüren und wiederzuerlangen. Die Multisignatur wurde aktualisiert, um die kompromittierte Wallet zu entfernen. Alle übrigen Protokollfunktionen bleiben weiterhin deaktiviert.
Laut Immunefi CEO Mitchell AmadorDie Auswirkungen auf den Tokenpreis halten oft länger an als der Angriff selbst. Daten von Immunefi zeigen, dass 83 % der nativen Token gehackter Protokolle sich nie wieder auf ihren Preis vor dem Angriff erholen.
Ein detaillierter Obduktionsbericht von Drift wird in den kommenden Tagen erwartet.
Ressourcen
PeckShield auf XBeiträge (1.-2. April)
Lookonchain auf XBeiträge (1.-2. April)
Driftprotokoll auf XBeiträge (1.-2. April)
Mitchell Amador über XBeitrag vom 25. März
Häufig gestellte Fragen
Was war die Ursache für den Drift-Protokoll-Hack?
Der Hack des Drift-Protokolls wurde durch eine Kombination aus vorab signierten, dauerhaften Nonce-Transaktionen, Social Engineering zur Erlangung von Multisignatur-Genehmigungen von legitimen Ratsmitgliedern und einem manipulierten Oracle-Preis eines gefälschten Tokens namens CarbonVote Token (CVT) verursacht. Der Angreifer nutzte diese drei Elemente, um die administrative Kontrolle über das Protokoll zu erlangen und 285 Millionen US-Dollar an realen Nutzergeldern zu erbeuten.
Was ist ein dauerhafter Nonce und warum ist er hier wichtig?
Eine dauerhafte Nonce ist eine Solana-Funktion, die es ermöglicht, eine Transaktion im Voraus zu signieren und später einzureichen, wodurch das übliche kurze Ablauffenster umgangen wird. Bei diesem Angriff nutzte der Angreifer dauerhafte Nonces, um administrative Transfertransaktionen Wochen vor ihrer Ausführung vorzubereiten. Das bedeutet, dass der Diebstahl effektiv autorisiert wurde, lange bevor er in der Blockchain sichtbar war.
Wurden bei dem Hackerangriff sämtliche Gelder der Drift-Nutzer verloren?
Nicht vollständig. Nicht in Drift hinterlegte DSOL-Bestände, einschließlich der beim Drift Validator eingesetzten Vermögenswerte, waren nicht betroffen. Vermögenswerte des Versicherungsfonds wurden ebenfalls zur Auszahlung und Sicherung markiert. Allerdings waren alle in Kredit-/Verleihpositionen, Tresoren und aktiven Handelsdepots gehaltenen Gelder von der Sicherheitslücke betroffen.
Haftungsausschluss
Haftungsausschluss: Die in diesem Artikel geäußerten Ansichten spiegeln nicht unbedingt die Ansichten von BSCN wider. Die in diesem Artikel enthaltenen Informationen dienen ausschließlich Bildungs- und Unterhaltungszwecken und stellen keine Anlageberatung oder Beratung jeglicher Art dar. BSCN übernimmt keine Verantwortung für Anlageentscheidungen, die auf den in diesem Artikel enthaltenen Informationen basieren. Wenn Sie der Meinung sind, dass der Artikel geändert werden sollte, wenden Sie sich bitte per E-Mail an das BSCN-Team. [E-Mail geschützt] .
Autorin
Soumen DattaSoumen ist seit 2020 Kryptoforscher und hat einen Master-Abschluss in Physik. Seine Schriften und Forschungsergebnisse wurden in Publikationen wie CryptoSlate und DailyCoin sowie BSCN veröffentlicht. Seine Schwerpunkte liegen auf Bitcoin, DeFi und vielversprechenden Altcoins wie Ethereum, Solana, XRP und Chainlink. Er kombiniert analytische Tiefe mit journalistischer Klarheit, um sowohl Einsteigern als auch erfahrenen Krypto-Lesern Einblicke zu bieten.
(Werbung)
Aktuelle News
17. April 2026
Bitcoin-Reserven brechen ein, nachdem Miner ihre Anlagen verkauft haben.
17. April 2026
JPMorgan zufolge ist der CLARITY Act näher als wir denken
17. April 2026
Sky führt USDS und sUSDS nativ auf Avalanche ein.
17. April 2026
Die nächsten großen Trends im Kryptobereich: Was könnte in den kommenden Jahren durchstarten?
16. April 2026
Circle wegen Drift-Hack verklagt: Hat das Unternehmen 280 Millionen Dollar verloren?
16. April 2026
Ist Südkorea das vielversprechendste Kryptoland? 30 % des Kryptovolumens
16. April 2026
Avalanche verzeichnet massives On-Chain-Wachstum
16. April 2026
Die von Trump unterstützte WLFI schlägt vor, 4.5 Milliarden Insider-Token im Rahmen einer umfassenden Überarbeitung der Vesting-Regelungen zu vernichten.
(Werbung)
Neueste Crypto Nachrichten
Bleiben Sie über die neuesten Krypto-Nachrichten und -Ereignisse auf dem Laufenden
