Am 1. April 2026 zogen sich die Dinge auf Solana (SOL) plötzlich auseinander. Drift Protocol wurde mit einem $285 Millionen Exploit getroffen, und innerhalb weniger Stunden stürzte sein Token hart ab. Die Auswirkungen hörten nicht dort auf, sondern breiteten sich schnell auf andere verbundene Protokolle aus.
Diese Aufschlüsselung basiert auf Berichterstattung und Analyse von Coin Bureau mit 2,73 Mio. Abonnenten, die den gesamten Zeitablauf des Exploits abdeckten und wie er sich im Hintergrund entfaltete.
Zunächst gingen die Leute von der üblichen Ursache aus, einem Fehler in einem Smart Contract oder einem technischen Mangel. Aber das war hier nicht der Fall. Es wurde kein Code beschädigt. Es wurde keine Schwachstelle ausgenutzt.
Dieser Angriff wurde um Menschen gebaut, nicht um Code.
Die Operation begann Monate zuvor, irgendwann im Spätherbst 2025. Sie startete still und leise, mit einer Gruppe, die sich als professionelle Handelsfirma ausgab und auf Drift-Mitarbeiter bei Konferenzen zuging. Sie wirkten glaubwürdig, sachkundig und tief vertraut sowohl mit Trading als auch mit Infrastruktur.
Im Laufe der Zeit bauten sie Beziehungen auf. Sie stiegen in private Diskussionen ein, teilten Ideen und arbeiteten an Strategien zusammen. Um ihr Image zu stärken, zahlten sie sogar über $1 Million in die Plattform ein. Dieser eine Schritt ließ sie ernsthaft und vertrauenswürdig wirken.
Schritt für Schritt verschafften sie sich Insiderzugang, ohne jemals sich ihren Weg erzwingen zu müssen.
- Wie die Angreifer reinkamen
- Der kritische Fehler, der alles möglich machte
- Wie $285M in Minuten abgezogen wurden
- Was das für Krypto verändert
Wie die Angreifer reinkamen
Sobald das Vertrauen da war, führten die Angreifer bösartige Tools ein, die als normale Workflows getarnt waren. Sie teilten ein GitHub-Repository, das wie eine standardmäßige Integration aussah. Aber versteckt darin war Code, der darauf ausgelegt war, das System eines Entwicklers still und heimlich zu kompromittieren, sobald es geöffnet wurde.
Es gab keine Warnungen oder offensichtlichen Anzeichen. Alles wirkte normal.
Allerdings wurde ein Mitwirkender dazu überzeugt, eine gefälschte Anwendung herunterzuladen, in der Annahme, sie sei zum Testen einer neuen Wallet gedacht. Das verschaffte den Angreifern tieferen Zugriff auf interne Systeme.
Jetzt waren sie nicht nur am Beobachten, sie waren in kritischer Infrastruktur drin, einschließlich der Systeme, die verwendet werden, um Transaktionen zu genehmigen.
_****So sieht der Bittensor (TAO)-Preis aus, wenn er einen $60B KI-Markt erfasst**
Der kritische Fehler, der alles möglich machte
Selbst mit diesem Zugriff mussten die Angreifer noch einen Weg finden, die volle Kontrolle zu übernehmen, ohne gestoppt zu werden. Diese Gelegenheit ergab sich aus einem einfachen, aber ernsten Fehler.
Drift hatte während eines routinemäßigen Updates seinen administrativen Timelock entfernt. Normalerweise schafft dieses Feature eine Verzögerung, bevor wichtige Aktionen ausgeführt werden, und gibt Teams Zeit, etwas Verdächtiges zu erkennen.
Ohne ihn konnten Transaktionen sofort durchgehen.
Etwa zur gleichen Zeit überzeugten die Angreifer Teammitglieder, etwas zu unterschreiben, das wie routinemäßige administrative Transaktionen aussah. In Wahrheit übergaben diese Signaturen die vollständige Kontrolle über das Protokoll.
Es wurden keine Alarme ausgelöst.
Wie $285M in Minuten abgezogen wurden
Sobald alles bereit war, ging der Angriff schnell voran. Die Angreifer erstellten ein gefälschtes Token und manipulierten seinen Preis, sodass es so aussah, als wäre es $1 wert. Anschließend listeten sie es als gültiges Sicherheitenmittel innerhalb des Protokolls.
Auf dem Papier sah es so aus, als hätten sie Hunderte Millionen an Vermögenswerten.
Mithilfe dieser gefälschten Sicherheit begannen sie, echte Vermögenswerte aus dem System auszuleihen. Große Mengen an Liquidität wurden über mehrere Pools abgezogen, darunter große Tokens wie Solana (SOL) und Wrapped Bitcoin.
Binnen Minuten waren bereits über $150 Millionen abgezogen. Der Rest folgte kurz danach.
Die gestohlenen Gelder wurden in Stablecoins umgewandelt und vom Netzwerk weg transferiert. Anschließend wurden sie zu Ethereum gebrückt und über viele Wallets verteilt, was eine Rückerlangung extrem schwierig machte.
Sicherheitsfirmen brachten den Angriff später mit einer nordkoreanischen Gruppe in Verbindung, die für ähnliche Operationen bekannt ist. Das war nicht zufällig und auch nicht überstürzt. Es wurde über Monate geplant und mit Präzision umgesetzt.
Ursprünglich wurde dieselbe Gruppe mit früheren Exploits in Verbindung gebracht, aber dieser zeigte ein höheres Maß an Koordination und Umfang.
Was das für Krypto verändert
Dieses Ereignis verlagert den Fokus der Sicherheit in Krypto. Seit Jahren ist die größte Sorge Smart-Contract-Schwachstellen. Projekte investierten stark in Audits und Code-Reviews, und Drift war keine Ausnahme.
Doch dieser Angriff zielte nicht auf den Code. Er zielte auf Vertrauen.
Entwickler, Mitwirkende und interne Prozesse wurden zu den Einstiegspunkten. Die Angreifer brachen das System nicht, sie manövrierten sich darum herum, indem sie die menschliche Interaktion ausnutzten.
Das verändert, wie Sicherheit künftig angegangen werden muss.
Der Verlust von $285 Millionen ist mehr als nur ein weiterer Exploit. Er zeigt, dass selbst gut geprüfte Systeme scheitern können, wenn die menschliche Ebene offengelegt ist.
DeFi geht nicht mehr nur um sicheren Code. Es geht darum, die Menschen und Prozesse dahinter abzusichern. Und wie dieser Fall zeigt, könnte das der schwerste Teil sein, der zu schützen ist.
