Der größte DeFi-Hack dieses Jahres fand letzte Woche am 01. April statt, als Drift Protocol, eine der größten Perp-DEXs im Solana-Netzwerk, einen Exploit erlitt, bei dem etwa 286 Millionen US-Dollar aus dem Protokoll verschwanden. Der Angriff wurde mit nordkoreanischen Hackern in Verbindung gebracht und der gesamte Hack ereignete sich in nur 10 Sekunden. Was bei diesem Hack jedoch erstaunlich war, war die akribische Natur. Es wurde kein Code gebrochen und kein Smart-Contract hatte einen Fehler. Untersuchungen von Krypto-Forensik-Firmen wie Elliptic und TRM Labs deuten tatsächlich auf einen viel kalkulierteren Hack hin.
Nordkoreanische Angreifer verbrachten drei Wochen damit, einen gefälschten Token namens CarbonVote herzustellen, versahen ihn mit ein paar tausend Dollar, um ihn echt aussehen zu lassen, während sie gleichzeitig zwei der fünf Multisig Security Council-Unterzeichner von Drift durch Social Engineering dazu brachten, versteckte Autorisierungen vorzusignieren, die sie nicht vollständig verstanden. Danach nutzten sie eine Solana-Funktion namens „durable nonces", um diese Signaturen über eine Woche lang in Reserve zu halten und auf den richtigen Moment zu warten. Alles, was es brauchte, war eine einzige Transaktion am 01. April.
Wie Elliptic feststellte, war dieser Angriff der 18. Krypto-Hack, der allein in diesem Jahr mit Nordkorea in Verbindung gebracht wurde, und zog etwa 300 Millionen US-Dollar aus dem Bereich. Vier Tage nach dem Hack erklärte der Chief Technology Officer(CTO) von Ledger offiziell die alarmierende Natur des Hacks und dass KI die Kosten für Angriffe wie diesen „auf Null senkt". Diese Aussage ist sehr bedeutsam, weil der Drift-Hack eine Fallstudie darüber ist, wie diese Operationen heute funktionieren. Die Angreifer benötigten keine Zero-Day-Schwachstelle oder einen erstklassigen Kryptographen. Alles, was sie brauchten, war Geduld, einen überzeugenden gefälschten Token und zwei Menschen, die sie manipulieren konnten. Der Hack legte tatsächlich strukturelle Schwachstellen in DeFi(Dezentralisierte Finanzen), wie es heute ist, offen. DeFi(Dezentralisierte Finanzen) baut eine milliardenschwere Infrastruktur auf, die von kleinen Gruppen von Menschen gesichert wird, die getäuscht werden können, während die Gegner immer besser darin werden, genau das zu tun.
Wie Nordkorea in 10 Sekunden 286 Millionen US-Dollar gestohlen hat
Der Drift-Protokoll-Hack war ein raffinierter Exploit, der sich über drei Wochen Vorbereitung erstreckte. Bloomberg berichtete zuerst am 01. April über den Verstoß, als Drift Protocol bestätigte, dass etwa 286 Millionen US-Dollar an Benutzervermögen abgesaugt worden waren. Das gesamte Schema begann tatsächlich bereits am 11. März, als der Angreifer 10 ETH von Tornado Cash um etwa 9 Uhr Pjöngjang-Zeit abzog und es verwendete, um den gefälschten Token CarbonVote (CVT) bereitzustellen, ein völlig fiktiver Vermögenswert, der mit ein paar tausend Dollar Liquidität versehen und durch Wash-Trading am Leben erhalten wurde.
Im Laufe der nächsten zwei Wochen, zwischen dem 23. und 30. März, eröffnete der Angreifer Durable-Nonce-Konten, eine legitime Funktion im Solana-Netzwerk, die es ermöglicht, Transaktionen vorzusignieren und unbegrenzt zu halten, ohne abzulaufen. Während dieses Zeitfensters brachte der Angreifer durch Social Engineering zwei der fünf Security Council Multisig-Unterzeichner von Drift dazu, Transaktionen zu genehmigen, die normal aussahen, aber, wie TRM Labs später bestätigte, versteckte Autorisierungen für kritische Admin-Kontrolle trugen.
Das letzte Puzzleteil fiel am 27. März, als Drift seinen Security Council auf eine neue 2/5-Schwellenkonfiguration mit null Timelock migrierte, wie BlockSec berichtete, was im Grunde die einzige Verzögerung beseitigte, die es jemandem ermöglicht hätte, zu erfassen, was kommen würde. Als der 01. April kam, war die Falle seit Tagen vollständig geladen.
Am 01. April verwendete der Angreifer diese vorsignierten Genehmigungen, um CarbonVote als gültige Sicherheit aufzulisten, blähte seinen Wert durch manipulierte Oracle-Preisgestaltung auf Hunderte von Millionen auf und die Governance wurde übernommen. Von dort leerten 31 Auszahlungstransaktionen die Tresore von Drift in Sekundenschnelle. Der größte Batzen allein umfasste JLP-Token im Wert von über 155 Millionen US-Dollar sowie zig Millionen in USDC, SOL, ETH und andere Liquid-Staking-Token, die abgezogen wurden, und der Total Value Locked des Protokolls brach sofort von etwa 550 Millionen US-Dollar auf unter 250 Millionen US-Dollar zusammen.
Die Geschwindigkeit des Hacks ist nur ein Teil dieser Geschichte. Ein detaillierter Plan, der drei Wochen dauerte und in einem 10-Sekunden-Hack endete, zeigte, wie leicht Governance, nicht Code, zum schwächsten Glied in DeFi(Dezentralisierte Finanzen) werden kann.
Nordkoreas 300-Millionen-US-Dollar-Krypto-Krieg im Jahr 2026
Dieser Hack, der Berichten zufolge von nordkoreanischen Angreifern verübt wurde, ist keineswegs ein Einzelfall. Wenn man sich einige der aufsehenerregendsten Hacks der letzten Jahre ansieht, wird deutlich, dass dies Teil einer viel größeren, staatlich gesteuerten Kampagne ist. Allein in diesem Jahr hat Elliptic berichtet, dass der Drift-Exploit der 18. DPRK-zugeschriebene Kryptowährung-Diebstahl ist, wodurch der Gesamtbetrag der abgesaugten Mittel bisher in diesem Jahr über 300 Millionen US-Dollar liegt. Wenn man über dieses Jahr hinausblickt, wird das Ausmaß solcher Hacks aus einem einzigen Land sehr schwer zu ignorieren. Letztes Jahr stahlen nordkoreanische Akteure zwischen 1,92 Milliarden US-Dollar laut TRM Labs, während Chainalysis diese Zahl auf 2,02 Milliarden US-Dollar in Kryptowährung beziffert. Dies markierte einen 51%igen Anstieg der von dieser Gruppe durchgeführten Hacks im Jahresvergleich und brachte ihren Gesamtraub aller Zeiten auf 6,75 Milliarden US-Dollar.
Nordkorea war im Jahr 2025 für rekordverdächtige 76 % aller Service-Kompromittierungen verantwortlich, was bedeutet, dass ein Land für die überwältigende Mehrheit der in der Branche stattfindenden Diebstähle verantwortlich ist. Vor diesem Hintergrund passt der Drift-Hack, der jetzt der zweitgrößte Exploit innerhalb des Solana-Ökosystems nach dem Wormhole-Verstoß 2022 ist, in ein Angriffsmuster.
Was dieses Muster definiert, ist Konsistenz. Der Bybit-Hack im Februar 2025, der größte Kryptowährung-Diebstahl der Geschichte, hatte nahezu identische Setups, die Social Engineering, kompromittierten Zugang und koordinierten Geldaustausch umfassten. TRM Labs stellt fest, dass DPRK-Betreiber zunehmend auf „chinesische Geldwäsche"-Netzwerke angewiesen sind, um Gelder innerhalb von Stunden über verschiedene Chains zu überbrücken.
Der Drift-Angriff zeigt tatsächlich ein System staatlich unterstützter Teams, die mehrwöchige Operationen mit Aufklärung, menschlicher Manipulation und globaler Geldwäsche-Infrastruktur durchführen, die bereits vorhanden ist.
KI senkt Angriffskosten „auf Null": Ledgers Chief Technology Officer(CTO) warnt
Vier Tage nach dem Drift-Abfluss sagte Ledger Chief Technology Officer(CTO) Charles Guillemet gegenüber CoinDesk etwas, das den gesamten Vorfall neu einordnete. „Schwachstellen zu finden und auszunutzen wird wirklich, wirklich einfach", sagte er. „Die Kosten gehen auf Null." Guillemet nannte Drift nicht, aber er beschrieb seine exakte Mechanik. KI hilft Angreifern nicht nur, Code-Fehler schneller zu finden, sie macht Social Engineering überzeugender, Phishing personalisierter und die Vorbereitungsarbeit, die nordkoreanische Betreiber drei Wochen lang bei Drift verbrachten, um eine Größenordnung billiger und skalierbarer. Er wies auch auf ein sich verstärkendes Problem auf der Verteidigungsseite hin: Da immer mehr Entwickler auf KI-generierten Code angewiesen sind, könnten sich Schwachstellen schneller verbreiten, als menschliche Prüfer sie erfassen können. „Es gibt keinen 'Mach es sicher'-Knopf", sagte er. „Wir werden viel Code produzieren, der von Natur aus unsicher sein wird." Hacks und Exploits verursachten im vergangenen Jahr Kryptowährung-Verluste in Höhe von 1,4 Milliarden US-Dollar, und Guillemets Prognose ist, dass die Kurve steiler wird, nicht flacher.
Der Drift-Hack ist der klarste Machbarkeitsnachweis für diese Warnung. Die Angreifer haben den Code nie berührt, sie zielten auf die zwei Menschen ab, die die Schlüssel hielten. KI muss keinen Smart-Contract ( Intelligenter Vertrag) brechen, wenn sie einen überzeugenden genug Vorwand generieren kann, um einen Multisig-Unterzeichner dazu zu bringen, eine Transaktion zu genehmigen, die er nicht vollständig versteht. Guillemet erwartet, dass sich die Branche spaltet: Kritische Systeme wie Wallets und Kernprotokolle werden stark in Sicherheit investieren und sich anpassen, aber ein Großteil des breiteren Software-Ökosystems könnte Schwierigkeiten haben, Schritt zu halten. Seine empfohlenen Korrekturen – formale Verifizierung unter Verwendung mathematischer Beweise, Hardware-Isolation für private Schlüssel – sind strukturell solide, erfordern jedoch ein Maß an institutioneller Disziplin, das die meisten DeFi(Dezentralisierte Finanzen)-Protokolle, einschließlich Drift, noch nicht aufgebaut haben. „Wenn Sie ein dediziertes Gerät haben, das nicht dem Internet ausgesetzt ist, ist es von Natur aus sicherer", sagte er. Der Drift Security Council hatte keinen solchen Puffer. Zwei Signaturen, null Timelock und ein gefälschter Token waren alles, was es brauchte.
Was als Nächstes passiert: Drifts Wiederherstellung und Branchenreaktion
Was als Nächstes für Drift Protocol passiert, ist alles andere als klar, und die frühen Signale spalten bereits die Branche. Unmittelbar danach schlug Anatoly Yakovenko einen potenziellen Wiederherstellungspfad vor: die Ausgabe eines IOU-artigen Token-Airdrop an betroffene Benutzer, der Bitfinex' Playbook von 2016 nach seinem 72-Millionen-US-Dollar-Hack widerspiegelt.
Die Idee ist einfach – Verluste jetzt sozialisieren, Benutzer im Laufe der Zeit zurückzahlen, wenn sich das Protokoll erholt. Aber der Kontext ist sehr unterschiedlich. Der TVL von Drift wurde fast halbiert, Einzahlungen und Auszahlungen bleiben ausgesetzt, und im Gegensatz zu Bitfinex fehlt ihm eine zentralisierte Einnahmemaschine, um diese Verbindlichkeiten abzusichern. Das hat zu sofortigem Widerstand geführt: IOU-Token riskieren in diesem Fall, rein spekulative Instrumente ohne klaren Weg zur Rückzahlung zu werden.
Gleichzeitig wirft die On-Chain-Aktivität neue Bedenken auf. Onchain Lens meldete, dass eine mit dem Drift-Team verbundene Wallet 56,25 Millionen DRIFT-Token (≈2,44 Millionen US-Dollar) kurz nach dem Exploit an zentralisierte Börsen einschließlich Bybit und Gate verschob, ein Schritt, der typischerweise Verkaufsdruck vorausgeht und Spekulationen über Insider-Positionierung während einer Liquiditätskrise angeheizt hat.
In der Zwischenzeit wurden die Gelder des Angreifers bereits über Chains überbrückt, insbesondere zu Ethereum, was die Wahrscheinlichkeit einer bedeutsamen Wiederherstellung mit jedem verstreichenden Tag verringert. Die breitere Implikation ist, dass dieser Vorfall nicht mit Drift enden wird. Es wird wahrscheinlich eine branchenweite Prüfung der DeFi(Dezentralisierte Finanzen)-Governance selbst beschleunigen, von Multisig-Sicherheitsstandards und Timelock-Anforderungen bis hin zu Oracle-Design und Ausführungskontrollen. Was als Nächstes kommt, hängt von drei Variablen ab: ob Drift einen glaubwürdigen Wiederherstellungsplan vorlegen kann, ob ein Teil der Mittel zurückverfolgt oder eingefroren werden kann und ob dies schließlich eine strukturelle Reform erzwingt oder nur eine weitere teure Lektion wird, an der die Branche vorbeizieht.
Wenn Sie dies lesen, sind Sie bereits voraus. Bleiben Sie dort mit unserem Newsletter.
Quelle: https://www.cryptopolitan.com/drift-protocol-hack-north-korea-ai/
