Der 10-Sekunden-Coup: Wie Drift um 285 Millionen Dollar erleichtert wurde
Der 1. April 2026 wird in der DeFi-Geschichte keinen Eintrag als Scherz finden, sondern als Lehrstück für das Versagen menschlicher Sicherheitsmechanismen. Das auf Solana basierende dezentrale Exchange Drift Protocol gab bekannt, dass Angreifer rund 285 Millionen Dollar aus der Plattform abzogen. Die alarmierendste Erkenntnis: Der Angriff dauerte von der ersten bis zur letzten Transaktion lediglich zehn Sekunden. Wie die Analyse von PIF Research Labs offenbarte, wurden die Haupt-Tresore in der Zeit geleert, „die man braucht, um eine SMS zu senden“.
Doch die wahre Geschichte dieses Hack beginnt nicht am 1. April, sondern Wochen zuvor. Sie ist kein Story über fehlerhaften Code, sondern über die zunehmende Perfektion staatlich gesteuerter Social-Engineering-Kampagnen.
Durable Nonces und der Tod des Timelocks
Die Web3-Branche liebt das Mantra „Code is Law“. Im Fall von Drift war jedoch nicht das Gesetz fehlerhaft, sondern die Richter. Laut den eigenen Aussagen des Drift-Teams wurde keine Smart-Contract-Schwachstelle ausgenutzt, und keine Seed-Phrasen wurden kompromittiert. Stattdessen nutzten die Angreifer einen raffinierten Mix aus Social Engineering und einem spezifischen Merkmal der Solana-Architektur: Durable Nonces.
Durable Nonces (dauerhafte Einmalwerte) ermöglichen es auf Solana, Transaktionen vorab zu signieren und diese Signatur für eine spätere Ausführung aufzubewahren, unabhängig von den üblichen Blockhöhen-Beschränkungen. Die Angreifer manipulierten Multisig-Unterzeichner durch Social Engineering dahingehend, versteckte Autorisierungen vorab zu signieren. Diese vorab genehmigten Transaktionen lagen dormant im Netzwerk, bis die Angreifer bereit waren zuzuschlagen.
Der tödliche Designfehler von Drift in diesem Szenario war das Fehlen eines Timelocks für die Migration des Security Councils. Als die Angreifer die kritische Masse an Multisig-Genehmigungen erreicht hatten, transferierten sie die administrativen Rechte in Minuten – ohne dass die Community oder andere Entwickler Zeit hatten, den Vorfall zu bemerken und zu intervenieren. TRM Labs brachte es auf den Punkt: Die Kombination aus vorab signierten, versteckten Autorisierungen und einer Migration ohne Timelock eliminierte die letzte Verteidigungslinie des Protokolls.
Der CarbonVote-Token: Ein Phantom als Pfand
Mit den administrativen Rechten ausgestattet, griffen die Angreifer zu einem klassischen, aber hier extrem raffinierten DeFi-Manöver. Sie erschufen ein völlig fiktives Asset – den „CarbonVote Token“. Mit wenigen tausend Dollar an Seed-Liquidität und Wash-Trading wurde dem Token künstlich Leben eingehaucht. Die Orakel von Drift interpretierten diese manipulierte Marktdynamik als legitim und stuften den Token als wertvolles Pfand ein – plötzlich mit einem unterstellten Wert von Hunderten Millionen Dollar. Die Angreifer hoben die Abhebungslimits und nutzten das Phantom-Asset, um die realen Mittel aus den Vaults zu saugen.
Die Spur führt nach Pjöngjang
Sowohl Elliptic als auch TRM Labs sehen in den On-Chain-Indikatoren klare Beweise für die Beteiligung nordkoreanischer Bedrohungsakteure (DPRK). Die Muster der Geldwäsche – die Nutzung von Tornado Cash für das anfängliche Staging, Cross-Chain-Bridging und die Geschwindigkeit der Verlagerung gestohlener Gelder – decken sich mit früheren, der DPRK zugeschriebenen Hacks, insbesondere dem massiven Bybit-Exploit aus dem Jahr 2025.
Ein detailreicher, aber signifikanter Hinweis war der Deployment-Zeitpunkt des CarbonVote-Tokens: 09:30 Uhr Pjöngjanger Zeit. Sollte sich die Zuordnung bestätigen, wäre dies nach Elliptic-Zählung bereits der 18. DPRK-Hack im laufenden Jahr 2026, der über 300 Millionen Dollar eingebracht hat. Insgesamt soll Nordkorea in den letzten Jahren Kryptowerte im Wert von über 6,5 Milliarden Dollar gestohlen haben – Gelder, die laut US-Regierung direkt in das nordkoreanische Waffenprogramm fließen.
Systemische Bedrohung: Vom Dev bis zum npm-Paket
Der Angriff auf Drift ist kein isoliertes Ereignis, sondern Teil einer anwachsenden, staatlich orchestrierten Kampagne. Social Engineering ist das primäre Einfallstor, und die Zielgruppe weitet sich aus. Kampagnen wie „DangerousPassword“ oder „Contagious Interview“ zielen gezielt auf Krypto- und Web3-Unternehmen ab. Elliptic warnt davor, dass die Weiterentwicklung dieser Techniken – flankiert durch KI-gestützte Automatisierung zur Perfektionierung überzeugender Personas – längst nicht mehr nur Börsen trifft, sondern Individualentwickler und Projektmitarbeiter mit Infrastrukturzugang.
Diese Warnung bekommt durch ein zeitgleich aufgetretenes Ereignis Gewicht: Dem Supply-Chain-Angriff auf das populäre Axios-npm-Paket. Sicherheitsfirmen wie Google, Microsoft und Sophos ordnen diesen Angriff der Gruppe UNC1069 zu, die mit nordkoreanischen Akteuren wie BlueNoroff und Nickel Gladstone überlappt. Auch hier ist das Ziel die Erschleichung von Vertrauen durch Kompromittierung von Infrastruktur, um letztlich Kryptowerte abzugreifen.
Fazit: Audits schützen nicht vor Manipulation
Der Drift-Hack zwingt der Branche eine schmerzhafte Erkenntnis auf: Die sichersten Smart Contracts sind wertlos, wenn die Governance-Ebene durch Social Engineering kompromittiert werden kann. Ein Multisig-Setup ist nur so stark wie die kognitiven Abwehrkräfte seiner Unterzeichner. Das Fehlen von Timelocks bei kritischen Protokoll-Änderungen ist ein Designfehler, der in DeFi-Kreisen dringend als solcher geächtet werden muss. Wenn staatliche Akteure mit Multi-Millionen-Budgets und KI-Unterstützung auf individuell zugeschnittene Social-Engineering-Kampagnen setzen, reicht ein simples „Verify, don't trust“ nicht mehr aus. Die Infrastruktur muss so gestaltet sein, dass sie selbst dann widerstandsfähig bleibt, wenn der Mensch hinter dem Key versehentlich auf den falschen Link klickt.
Quelle: The Hacker News
