Solana-basiertes Drift-Protokoll erleidet größten Krypto-Exploit des Jahres 2026
Das auf Solana basierende Drift-Protokoll hat den bisher größten Exploit des Jahres 2026 erlitten und dabei fast $300 Millionen verloren. Dieser hochentwickelte Angriff hat Bedenken hinsichtlich der zunehmenden Bedrohung durch auf Menschen abzielende Angriffe im Kryptobereich aufgeworfen.
Solana DEX verliert $285 Millionen am 1. April
Am Mittwoch wurde die dezentrale Börse (DEX) Drift Protocol, die auf Solana basiert, Opfer eines Angriffs, bei dem Hunderte Millionen Dollar aus ihren Tresoren gestohlen wurden. Nachdem Berichte über ungewöhnliche On-Chain-Aktivitäten aufgetaucht waren, bestätigten die offiziellen Kanäle von Drift den Angriff und setzten Ein- und Auszahlungen umgehend aus.
Berichten zufolge dauerte der Angriff weniger als 20 Minuten und führte zum Diebstahl von etwa $285 Millionen in verschiedenen Vermögenswerten, darunter USDC, JPL, USDT, JUP, USDS, WBTC und WETH, aus fast 20 Tresoren. Dies ist der größte Krypto-Exploit des Jahres 2026 und einer der größten Hacks in der Branche, knapp über dem $235 Millionen Hack von WazirX.
Der Hack löschte die Hälfte des gesamten gesperrten Wertes (TVL) des Solana-basierten Projekts aus, der von etwa $550 Millionen auf $252 Millionen fiel, laut Daten von DeFiLlama. Der Token von Drift Protocol, DRIFT, fiel ebenfalls und verlor in den letzten 24 Stunden fast 40% an Wert.
Innerhalb weniger Stunden hatte der Angreifer $270,9 Millionen in USDC umgetauscht, diese von Solana nach Ethereum über den CCTP TokenMessengerMinterV2 überbrückt und 129.000 ETH gekauft, die auf mehrere Wallets verteilt wurden.
In einem Beitrag am Donnerstag teilte Drift die Details des Vorfalls mit und bestätigte, dass „ein böswilliger Akteur unbefugten Zugriff auf das Drift-Protokoll durch einen neuartigen Angriff mit langlebigen Nonces erlangte, was zu einer schnellen Übernahme der administrativen Befugnisse des Sicherheitsrats von Drift führte.“
Solanas langlebige Nonces sind ein fortschrittlicher Mechanismus, der es ermöglicht, dass Transaktionen die typische kurze Ablaufzeit regulärer Transaktionen umgehen. Dies ermöglicht es Nutzern, Transaktionen für zukünftige Ausführungen, Offline-Signaturen oder komplexe Multisig-Workflows vorab zu signieren.
„Dies war eine hochentwickelte Operation, die offenbar eine mehrwöchige Vorbereitung und gestaffelte Ausführung umfasste, einschließlich der Verwendung langlebiger Nonce-Konten, um Transaktionen vorab zu signieren, die die Ausführung verzögerten,“ so der Beitrag weiter.
Böswillige Akteure zielen auf Menschen, nicht auf Smart Contracts
Die Solana-basierte DEX betonte, dass der Exploit nicht das Ergebnis eines Fehlers in den Programmen oder Smart Contracts von Drift war und dass sie keine Hinweise auf kompromittierte Seed-Phrasen fanden.
„Der Angriff umfasste unbefugte oder falsch dargestellte Transaktionsgenehmigungen, die vor der Ausführung erlangt wurden, wahrscheinlich erleichtert durch langlebige Nonce-Mechanismen und ausgeklügelte Social-Engineering-Methoden,“ unterstrich das Projekt.
Lily Liu, Präsidentin der Solana Foundation, äußerte sich zu dem Vorfall und betonte, dass dies ein Schlag für das gesamte Solana-Ökosystem sei. Liu wies darauf hin, dass „Smart Contracts standgehalten haben. Die eigentlichen Ziele sind jetzt Menschen: Social Engineering und operative Schwächen mehr als Code-Exploits.“
Charles Guillemet, CTO von Ledger, verband die Angriffsmethode von Drift mit dem $1,4 Milliarden Hack von Bybit, der nordkoreanischen Hackergruppen zugeschrieben wird. Wie er erklärte, kompromittierten die Angreifer wahrscheinlich mehrere Maschinen, die zu Multisig-Unterzeichnern gehörten, durch langfristige Infiltration und täuschten Betreiber, um die böswilligen Transaktionen zu genehmigen.
„Dieses Vorgehen ähnelt dem Bybit-Hack im letzten Jahr, der weithin Akteuren mit Verbindungen zur DVRK zugeschrieben wird. Das Muster wird vertraut: geduldige, ausgeklügelte Kompromittierung auf Lieferkettenebene, die auf die menschliche und operative Ebene abzielt, nicht auf die Smart Contracts selbst.“
Guillemet betonte, dass der Vorfall „ein weiterer Weckruf für die Branche“ sei, um die Sicherheitsstandards zu erhöhen. „Letztendlich geht es bei Sicherheit nicht nur um Code-Audits. Es geht darum, Betreibern und Nutzern die richtigen Informationen zur richtigen Zeit zu geben, damit sie fundierte Entscheidungen darüber treffen können, was sie unterschreiben,“ schloss er.
