Der 280-Millionen-Dollar-Drift-Hack: Wochen der Einrichtung, Minuten zum Entleeren
Die in Solana ansässige Krypto-Börse Drift Protocol wurde gestern im Rahmen einer wochenlangen Operation, bei der wahrscheinlich Social Engineering eingesetzt wurde, um die Genehmigungen mehrerer Multisig-Unterzeichner zu kompromittieren, für etwa 280 Millionen US-Dollar gehackt.
Am 1. April um 19 Uhr UTC+1-Zeit gab Drift bekannt, dass es „ungewöhnliche Aktivitäten“ im Protokoll gebe und dass Benutzer die Einzahlung von Geldern vermeiden sollten. Darin wurde betont: „Das ist kein Aprilscherz.“
Dies war darauf zurückzuführen, dass X-Benutzer Alarm schlugen, dass Drift ausgenutzt würde und dass es sich dabei um einen erheblichen Angriff handeln würde.
Drift bestätigte dann, dass es einem anhaltenden Angriff ausgesetzt sei und dass Ein- und Auszahlungen ausgesetzt werden müssten. Forscher begannen zu spekulieren, dass die privaten Schlüssel von Drift kompromittiert wurden.
Das Drift-Protokoll erlebt einen aktiven Angriff. Ein- und Auszahlungen wurden ausgesetzt. Wir koordinieren uns mit mehreren Sicherheitsfirmen, Brücken und Börsen, um den Vorfall einzudämmen. Das ist kein Aprilscherz. Wir stellen weitere Updates von diesem Konto bereit als… https://t.co/03SRPq4fHj
– Drift (@DriftProtocol) 1. April 2026
Drift hat seitdem eine detaillierte Zeitleiste darüber veröffentlicht, was passiert ist und wie.
Darin heißt es: „Dies war eine hochentwickelte Operation, die offenbar eine mehrwöchige Vorbereitung und schrittweise Ausführung erforderte, einschließlich der Verwendung dauerhafter Nonce-Konten zur Vorabzeichnung von Transaktionen, die die Ausführung verzögerten.“
Es wird behauptet, dass der Angriff nicht durch einen Fehler in den Programmen oder Smart Contracts von Drift verursacht wurde, es keine Hinweise auf kompromittierte Seed-Phrasen gab und dass der Angriff nicht autorisierte Transaktionsgenehmigungen vor der Ausführung des Hacks umfasste.
Es gab jedoch zu, dass diese Genehmigungen wahrscheinlich durch einen Social-Engineering-Angriff auf seine Mitarbeiter und die Manipulation „dauerhafter Nonce-Mechanismen“ erleichtert wurden.
Was ist mit Drift passiert?
Dauerhafte Nonce-Mechanismen sind eine Art Blockchain-Tool, das die Blockhash-Signierung umgehen und die Offline-Übersetzungssignierung erleichtern kann.
Drift behauptet, dass am 23. März vier dauerhafte Nonce-Konten erstellt wurden, von denen zwei mit Multisig-Mitgliedern des Drift Security Council und zwei mit von Angreifern kontrollierten Konten verknüpft waren.
Nachfolgend finden Sie die Zeitleiste der Ereignisse. 23. März: Erste Nonce-Einrichtung Vier dauerhafte Nonce-Konten wurden erstellt: – Zwei mit Multisig-Mitgliedern des Drift Security Council verbunden – Zwei mit von Angreifern kontrollierten Konten verbunden Relevante Konten: a.…
– Drift (@DriftProtocol) 2. April 2026
Dann, am 27. März, „führte Drift eine geplante Migration zum Sicherheitsrat aufgrund eines Ratsmitgliederwechsels durch.“
Drei Tage später wurde ein weiteres dauerhaftes Nonce-Konto für ein Mitglied des aktualisierten Multisig erstellt, was den Angreifern „effektiven Zugriff auf 2/5 Unterzeichner im aktualisierten Multisig“ verschaffte.
Tag der Hinrichtung
Drift behauptet, am 1. April einen Probeentzug aus der Versicherungskasse durchgeführt zu haben. Anschließend führte der Angreifer mit Zugriff auf die Multisig-Genehmigungen „innerhalb von Minuten eine böswillige Administratorübertragung durch und erlangte die Kontrolle über Berechtigungen auf Protokollebene“.
Angreifer könnten dann „diese Kontrolle nutzen, um einen böswilligen Vermögenswert einzuschleusen und alle voreingestellten Auszahlungslimits aufzuheben, die bestehende Gelder angreifen.“
Drift hat keine Details darüber mitgeteilt, wie der wahrscheinliche Social-Engineering-Angriff stattgefunden hat. Sie können manchmal darauf zurückzuführen sein, dass ein Angreifer eine falsche Identität angibt, sei es per Direktnachricht, E-Mail oder Telefon, und jemanden dazu verleitet, ihm Zugriff auf wichtige Berechtigungen zu gewähren.
Drifts Partner Circle hat keine Gelder eingefroren
Der Vorfall wurde vom Krypto-Ermittler ZachXBT kritisiert, der sich mit der Stablecoin-Firma Circle und ihren langsamen Bemühungen, die gestohlenen Gelder einzufrieren, beschwerte.
Drift integrierte das Cross-Chain Transfer Protocol (CTTP) von Circle im Jahr 2023. ZachXBT bemerkte: „Circle schlief, während viele Millionen USDC über CCTP von Solana nach Ethereum getauscht wurden, ausgehend vom neunstelligen Drift-Hack während der US-Stunden.“
„6 Stunden dauerte es, bis Circle die gestohlenen Gelder aus dem Drift-Hack im Wert von über 280 Millionen US-Dollar einfrierte“, sagte er.
Andere Benutzer hatten Einwände gegen die Einstufung des Protokolls als „dezentralisiert“, nachdem der Angriff offenbar zentralisierte Mechanismen ausgenutzt hatte.
Andere Benutzer waren verärgert darüber, dass Drift nur zwei der fünf Multig-Genehmigungen benötigte, um die Transaktion durchzuführen.
Da ist es, da ist der Übeltäter 2/5 Multisig für einen 500M TVL ohne Zeitsperre ist verrückt, man könnte meinen, es ist 4/5 Multisig, aber nein, diese Teams sind verrückt und dann werden sie sich ein hochtechnisches BBS einfallen lassen, um zu erklären, warum, nachdem die Gelder der Benutzer weg sind
– tobi (@tobific) 2. April 2026
Die Plattform sagte, sie arbeite mit Sicherheitsfirmen, Strafverfolgungsbehörden, Brücken und Börsen zusammen, um herauszufinden, was passiert sei, und die gestohlenen Vermögenswerte einzufrieren. Es fügte hinzu, dass in den kommenden Tagen ein detaillierterer Bericht eintreffen werde.
Der Chief Technology Officer von Ledger hat bereits spekuliert, dass die Ereignisse des Hacks einem ähnlichen Modus Operandi „dem Bybit-Hack im letzten Jahr ähneln, der weithin Akteuren zugeschrieben wird, die mit der Demokratischen Volksrepublik Korea verbunden sind“.
Protos hat Drift um einen Kommentar gebeten und wird diesen Artikel aktualisieren, falls wir etwas hören.