April 2026 wurde zum „schwarzen Monat“ für DeFi, als die Gesamtschäden durch Hacks 640 Millionen Dollar überstiegen. Der Angriff auf das Drift-Protokoll war der größte Hack in der Geschichte von Solana und zeigte, dass die Hauptanfälligkeit moderner Protokolle nicht im Code, sondern im menschlichen Faktor und in den „vergifteten“ Vertrauensketten innerhalb der Teams liegt.
Früher suchten Hacker nach Löchern in der Mathematik von Smart Contracts, jetzt spielen sie das 'langsame Spiel'. Der Hack von Drift wurde über ein halbes Jahr vorbereitet: Die Angreifer schlichen sich in das Vertrauen der Entwickler als respektable Firma ein, um im entscheidenden Moment mit einem Schlag Hunderte Millionen Dollar abzuheben. Lass uns das näher untersuchen.
Einstiegspunkt des Angriffs
Der Einstiegspunkt war soziale Ingenieurkunst. Die Hacker gaben sich als Vertreter einer quantitativen Handelsfirma aus und kommunizierten über 6 Monate mit dem Drift-Team auf Konferenzen und in privaten Chats. Durch schadhafte Links zu Code-Repositories kompromittierten sie die Geräte der Unterzeichner der Multisig-Wallets.
Tatort
Nachdem sie Zugriff auf die Unterschriften des Sicherheitsrates erhalten hatten, schalteten die Hacker die zeitliche Verzögerung für das Protokoll-Update aus. Sie schufen einen Fake-Asset, den CarbonVote Token (CVT), pumpen dessen Preis durch interne Transaktionen künstlich hoch und zwangen die Orakel von Drift, ihn als legitime Sicherheit im Wert von Hunderten Millionen Dollar anzuerkennen. Gegen diese 'Müll'-Sicherheit borgten sie sich sofort echte Assets (USDC, SOL, ETH).
Einfach gesagt
Um zu verstehen, was die Hacker gemacht haben, stell dir eine automatisierte Bank vor, die ohne Menschen funktioniert — nur nach Programm.
Vorbereitung und Vertrauen
Die Hacker brachen nicht durch die Türen der Bank ein, schlüpften nicht durch die Belüftung wie in den coolen Actionfilmen und bastelten keine überdimensionalen technischen Geräte. Stattdessen gaben sie sich ein halbes Jahr lang als respektable Kunden und Experten aus. Sie redeten den Eigentümern so lange das Ohr voll, dass diese ihnen den 'Administrator-Schlüssel' gaben, der es ihnen ermöglichte, neue Assettypen zur Bank hinzuzufügen, gegen die Kredite aufgenommen werden konnten.
Schaffung von 'wertvollen Assets'
Die Angreifer schufen ihre eigene wertlose Münze. Auf dem freien Markt war sie nichts wert. Aber mit Zugang zu den Bankeinstellungen fügten die Hacker diese Münze der Liste der wertvollen Assets hinzu.
Preisanstieg
Durch spezielle Manipulationen innerhalb des Systems zwangen sie die Bankensysteme zu glauben, dass dieses 'Asset' mehr wert ist als Gold. Sie bewegten einfach diese Münze zwischen ihren Wallets zu astronomischen Preisen, und der Computer der Bank glaubte: 'Wow, dieses Asset ist sehr beliebt und teuer!'.
Hauptakte
Die Hacker bringen der Bank einen ganzen Koffer voller ihrer kostenlosen 'wertvollen Assets'. Das intelligente System sieht den 'Schatz' und gibt gemäß den Regeln echte Geldmittel (USDC und SOL) gegen diese Sicherheit aus, die in der Kasse von gewöhnlichen Leuten geblieben sind.
Ausgang und Legalisierung
Die meisten Mittel ($285 Millionen) wurden innerhalb der ersten Stunden über die Brücke Circle CCTP ins Ethereum-Ökosystem abgezogen. Anschließend nutzten die Angreifer das THORChain-Protokoll, um die Assets in Bitcoin umzuwandeln, da dieser Weg derzeit am schwierigsten zu blockieren ist.
Wer steht hinter dem Angriff
Die Analyseunternehmen Chainalysis und TRM Labs schreiben den Angriff mit hoher Wahrscheinlichkeit der nordkoreanischen Gruppe UNC4736 (auch bekannt als AppleJeus oder Citrine Sleet) zu, die zuvor Radiant Capital gehackt hatte.
Ermittlungsteams
Drift Labs und das Sicherheitsteam
Das Sicherheitsteam von Drift führte zusammen mit einer schnell eingreifenden Gruppe, die auf solche Vorfälle spezialisiert ist, ein technisches Audit durch, identifizierte kompromittierte Unterschriften und blockierte die Funktionen des Protokolls, um die verbleibenden Gelder zu retten.
Arbitrum Sicherheitsrat
Obwohl der Angriff auf Solana begann, durchlief ein erheblicher Teil der Mittel das Netzwerk Arbitrum, wo der Sicherheitsrat die Aktionen mit den Ermittlern koordinierte.
FBI (Cyber Division)
Identifiziert die Angreifer und verfolgt die Verbindungen zu staatlichen Strukturen in Nordkorea.
Tether
Sie spielten eine Schlüsselrolle, indem sie schnell einen erheblichen Teil der gestohlenen Mittel in den Stablecoins USDT blockierten. Chainalysis und TRM Labs bieten Werkzeuge zur Verfolgung von 'schmutzigem' Geld in Echtzeit über Mixer und Cross-Chain-Brücken.
Entschädigung
Dank der schnellen Reaktion und der Unterstützung durch die Emittenten von Stablecoins (insbesondere Tether) konnte ein Teil der Mittel eingefroren werden. Aktuell wurde ein Wiederherstellungspaket entwickelt, das etwa 52% der verlorenen Benutzerassets abdeckt.
Eine Lektion für die gesamte Branche
Der Hack von Drift und Kelp DAO im Jahr 2026 markierte eine neue Ära der Cyber-Bedrohungen — den Übergang von technischen Exploits zu tiefgreifender sozialer Infiltration. Das ist eine Lektion für die gesamte Branche: Sicherheit beginnt nicht mit dem Audit des Codes, sondern mit der Überprüfung derjenigen, die diesen Code schreiben und unterzeichnen.