DPRK Lazarus Group unter Verdacht beim Drift Protocol $286 Millionen Solana-Diebstahl
Drift Protocol, die größte dezentralisierte Perpetual-Futures-Börse im Solana-Netzwerk, bestätigte den Exploit, nachdem der Gesamter gesperrter Wert (TVL) an einem einzigen Morgen von etwa $550 Millionen auf unter $250 Millionen eingebrochen war und nun bei $232 Millionen steht. Bitcoin.com News berichtete als erstes über das Problem. Der DRIFT-Token fiel in den folgenden Stunden um bis zu 37%–42% und erreichte einen Tiefststand nahe $0,04 bis $0,05.
Berichte weisen darauf hin, dass der Angriff nicht mit einem Code-Fehler begann, sondern mit einer Tornado Cash-Auszahlung. Am 11. März zog der Angreifer ETH aus dem Ethereum-basierten Datenschutzprotokoll ab und nutzte diese Mittel, um am 12. März den Carbonvote-Token (CVT) bereitzustellen. Blockchain-Analysten stellten fest, dass der Zeitstempel der Bereitstellung etwa 09:00 Uhr Pjöngjang-Zeit entsprach, ein Detail, das sofort Alarm auslöste.
DRIFT-Token am 03.04.2026.Mehrere Berichte beschreiben, dass der Angreifer in den folgenden drei Wochen minimale Liquidität für CVT auf der dezentralisierten Börse Raydium bereitstellte und Wash-Trading nutzte, um einen Preis nahe $1,00 aufrechtzuerhalten. Drifts Orakel lasen diesen Preis als legitim. Der Angreifer hatte gefälschte Kollateralwerte / Vermögenswerte als Garantie aufgebaut, die für jedes überwachende automatisierte System echt aussahen.
„Heute früher erlangte ein böswilliger Akteur unbefugten Zugriff auf Drift Protocol durch einen neuartigen Angriff mit dauerhaften Nonces, was zu einer schnellen Übernahme der administrativen Befugnisse des Drift Security Council führte", schrieb das Drift-Team.
Der X-Account des Projekts fügte hinzu:
Anscheinend wechselte der Drift-Angreifer zwischen dem 23. und 30. März auf die menschliche Ebene. Unter Verwendung einer legitimen Solana-Funktion namens durable nonces soll der Angreifer Mitglieder des Drift Security Council Multisig dazu veranlasst haben, Transaktionen vorzusignieren, die routinemäßig erschienen. Diese Signaturen wurden zu vorab genehmigten Zugriffsschlüsseln, die in Reserve gehalten wurden, bis der Angreifer bereit war.
Die Öffnung schloss sich am 27. März, als Drift seinen Security Council auf eine 2-von-5-Signatur-Schwelle migrierte und das Timelock vollständig entfernte. Ein Timelock erzwingt normalerweise eine 24-bis-72-stündige Verzögerung bei administrativen Aktionen und gibt der Community Zeit, alles Verdächtige zu erkennen und rückgängig zu machen. Ohne es hatte der Angreifer sofortige Ausführungsbefugnis ohne Verzögerung. Die vorsignierten Transaktionen waren in dem Moment aktiv, als das Timelock verschwand.
Am 1. April aktivierte der Angreifer diese Transaktionen, listete CVT als gültige Kollateralwerte / Vermögenswerte als Garantie auf, erhöhte Auszahlungslimits und hinterlegte Hunderte Millionen in CVT-Tokens, gegen die Drifts Risikomanagement-Engine reale Vermögenswerte ausgab. Das Protokoll übergab Millionen in JLP-Tokens, Millionen in USDC, Millionen in SOL und kleinere Mengen an Wrapped Bitcoin und Ethereum. Einunddreißig Auszahlungstransaktionen wurden in etwa 12 Minuten abgewickelt.
Der Angreifer konvertierte die gestohlenen Tokens mit Jupiter in USDC, überbrückte sie zur Ethereum-Blockchain und tauschte sie in Zehntausende von ETH um. Einige Mittel wurden über Hyperliquid geleitet, und ein Teil wurde direkt zu Binance transferiert. Am 3. April sendete Drift eine On-Chain-Nachricht von einer Ethereum-Adresse an vier von Hackern kontrollierte Wallets. Die Publikation cryptonomist.ch berichtet, dass die Nachricht lautete:
Die Sicherheitsfirmen Elliptic und TRM Labs haben den Angriff DPRK-verbundenen Bedrohungsakteuren zugeschrieben und verweisen auf den Tornado Cash-Ursprung, die Pjöngjang-Zeit-Bereitstellungssignatur, den Social-Engineering-Fokus und die Geschwindigkeit der Geldwäsche nach dem Hack. Die Lazarus Group nutzte den gleichen geduldigen und auf Menschen ausgerichteten Ansatz beim Ronin Bridge-Hack 2022. Die US-Regierung hat diese Diebstähle mit der Finanzierung des Waffenprogramms Nordkoreas in Verbindung gebracht, und Elliptic hat allein im ersten Quartal 2026 über $300 Millionen gestohlene Mittel verfolgt.
Die Ansteckung breitete sich auf mehr als 20 Protokolle aus. Prime Numbers Fi meldete Verluste in Millionenhöhe. Carrot Protocol pausierte Mint- und Rücknahmefunktionen, nachdem 50% seines TVL betroffen waren. Pyra Protocol deaktivierte Auszahlungen vollständig und machte alle Benutzermittel unzugänglich. Piggybank verlor $106.000 und erstattete Benutzern aus der eigenen Team-Schatzkammer.
DeFi Development Corp., ein an der Nasdaq notiertes Unternehmen mit einer Solana-Treasury-Strategie, bestätigte am 1. April, dass es keine Drift-Exposition hatte. Sein Risikorahmen schloss das Protokoll vollständig aus. Diese Tatsache zog mehr Aufmerksamkeit auf sich, als das Unternehmen wahrscheinlich beabsichtigt hatte.
Der Drift-Vorfall lieferte eine klare Lektion, die die meisten in der Branche bereits kannten, aber nicht vollständig angewendet hatten: Ein Timelock ist nicht optional. Die Entfernung dieser einzigen Schutzmaßnahme am 27. März verwandelte einen komplexen, mehrwöchigen Angriff in eine 12-minütige Auszahlung. Protokoll-Governance ohne Verzögerungsmechanismus ist Governance mit offener Tür.
Die nächsten 48 Stunden nach dem DeFi-Angriff wurden als entscheidend für Drifts Fähigkeit beschrieben, das Vertrauen der Benutzer zu erhalten und einen Wiederherstellungspfad zu entwickeln. Stand 3. April war kein umfassender Rückerstattungsplan angekündigt worden.
FAQ 🔎
- Was ist mit Drift Protocol passiert? Angreifer entleerten am 01.04.2026 $286 Millionen aus Drift Protocol, indem sie gefälschte Kollateralwerte / Vermögenswerte als Garantie und vorsignierte administrative Transaktionen verwendeten, um die Kern-Tresore des Protokolls in 12 Minuten zu leeren.
- Wer ist für den Drift Protocol-Hack verantwortlich? Sicherheitsfirmen, darunter Elliptic und TRM Labs, haben den Angriff DPRK-verbundenen Bedrohungsakteuren zugeschrieben und verweisen auf Geldwäschemuster und On-Chain-Zeitstempel, die mit der Vorgehensweise der Lazarus Group übereinstimmen.
- Ist mein Geld auf Drift Protocol sicher? Drift hat nach dem Angriff alle Einzahlungen und Auszahlungen ausgesetzt; Benutzer in betroffenen Protokollen wie Pyra und Carrot können Stand 03.04.2026 nicht auf ihre Mittel zugreifen.
- Was ist ein Durable-Nonce-Angriff in Solana DeFi? Ein Durable-Nonce-Angriff nutzt eine legitime Solana-Funktion, um Transaktionen vorzusignieren, die routinemäßig aussehen, und hält sie als aktive Autorisierungsschlüssel, bis der Angreifer sich entscheidet, sie auszuführen.
Quelle: https://news.bitcoin.com/drift-protocol-hack-2026-what-happened-who-lost-money-and-whats-next/
