Nordkoreanische Hacker plündern 285 Millionen Dollar von Drift Protocol in wenigen Minuten

Von Sergii PastbinCybersecurity, Schwachstellen, Sicherheitslücken, Vulnerabilities
Drift-Hack Nordkorea stiehlt 285 Mio. Dollar via Solana

Am 1. April 2026 wurde Drift Protocol, die größte dezentrale Perpetual-Futures-Börse auf der Solana-Blockchain, Opfer eines verheerenden Cyberangriffs. Angreifer erbeuteten rund 285 Millionen US-Dollar an Nutzergeldern – der bislang größte DeFi-Hack des Jahres 2026 und nach dem 326-Millionen-Dollar-Wormhole-Bridge-Exploit von 2022 der zweitgrößte Sicherheitsvorfall in der Geschichte des Solana-Ökosystems.

Die Blockchain-Analyseunternehmen Elliptic und TRM Labs identifizierten anhand mehrerer On-Chain-Indikatoren eine Verbindung zu staatlich unterstützten Hackergruppen der Demokratischen Volksrepublik Korea (DVRK). Zu den Indizien zählen die Nutzung des sanktionierten Mixers Tornado Cash zur initialen Finanzierung, der Zeitpunkt des Deployments eines gefälschten Tokens namens CarbonVote Token (CVT) um 09:30 Uhr Pjöngjang-Zeit, typische Cross-Chain-Bridging-Muster sowie die Geschwindigkeit und das Ausmaß der anschließenden Geldwäsche. Laut Elliptic handelt es sich um den achtzehnten DVRK-zugeordneten Vorfall, den das Unternehmen im Jahr 2026 nachverfolgt hat, mit insgesamt über 300 Millionen Dollar an gestohlenen Mitteln allein in diesem Jahr.

Der Angriff beruhte nicht auf einer Schwachstelle im Smart-Contract-Code von Drift. Stattdessen kombinierten die Angreifer Social Engineering gegen Multisig-Unterzeichner mit einer manipulierten Security-Council-Migration ohne Zeitsperre (Zero-Timelock). Die Vorbereitung erstreckte sich über mehrere Wochen: Am 11. März begannen die On-Chain-Vorbereitungen. Am 23. März wurden vier sogenannte Durable-Nonce-Accounts erstellt – ein legitimes Solana-Feature, das vorgezeichnete Transaktionen ermöglicht. Zwei dieser Accounts gehörten zu echten Mitgliedern des Drift Security Councils, zwei wurden vom Angreifer kontrolliert. Am 27. März führte Drift eine geplante Migration des Security Council durch, bei der ein Mitglied ausgetauscht wurde. Bereits am 30. März tauchte ein neuer Durable-Nonce-Account auf, der mit einem Mitglied der aktualisierten Multisig-Konfiguration verbunden war – ein Hinweis darauf, dass der Angreifer erneut die erforderliche Zwei-von-Fünf-Zustimmungsschwelle erreicht hatte.

Am 1. April schlug der Angreifer zu. In weniger als zwölf Minuten wurden die vorab signierten Durable-Nonce-Transaktionen eingereicht. Zwei Transaktionen, gerade einmal vier Solana-Slots voneinander entfernt, genügten, um einen bösartigen Admin-Transfer zu erstellen und zu genehmigen. Die betroffenen Multisig-Mitglieder hatten laut Drift die Transaktionen aufgrund irreführender Darstellungen genehmigt – sie glaubten offenbar, Routinevorgänge freizugeben.

Die erbeuteten Mittel wurden zunächst in USDC und SOL konsolidiert und anschließend teilweise über Circles Cross-Chain Transfer Protocol (CCTP) auf die Ethereum-Blockchain transferiert. Weitere Mittel flossen über NEAR und andere Netzwerke. Die für den Angriff vorfinanzierten Ethereum-Adressen waren über Tornado Cash bestückt worden. Ledger-CTO Charles Guillemet zog eine direkte Parallele zum 1,4 Milliarden Dollar schweren Bybit-Hack von 2025, den das FBI der nordkoreanischen Lazarus-Gruppe zugeschrieben hatte.

Ein zentrales Element des Angriffs war der CarbonVote Token (CVT), ein vollständig fiktives Asset. Die Angreifer erzeugten mit wenigen tausend Dollar an eingespeister Liquidität und Wash Trading die Illusion eines handelbaren Tokens. Drifts Oracles akzeptierten den CVT als legitime Sicherheit im Wert von Hunderten Millionen Dollar, was den Angreifern den Zugriff auf die tatsächlichen Nutzergelder ermöglichte.

Die Solana Foundation bestätigte, dass der Angriffsvektor in Social Engineering und operativen Sicherheitsmängeln lag und nicht in Code-Schwachstellen. Der Governance-Token von Drift verlor infolge des Vorfalls rund 25 Prozent seines Wertes. Ermittler konnten einen Teil der gestohlenen Mittel zu Konten auf der Krypto-Börse Backpack zurückverfolgen, wobei vorhandene KYC-Daten möglicherweise Hinweise auf die Identität der Täter liefern könnten.

Unterm Strich offenbart der Drift-Exploit eine fundamentale Schwäche im DeFi-Sicherheitsmodell: Nicht der Code, sondern die Menschen, die ihn verwalten, waren das entscheidende Einfallstor. Solange Multi-Signatur-Verfahren auf das Urteilsvermögen einzelner Unterzeichner angewiesen sind und Governance-Migrationen ohne Zeitsperre durchgeführt werden können, bleiben selbst technisch robuste Protokolle verwundbar gegenüber sorgfältig orchestrierten Social-Engineering-Kampagnen staatlicher Akteure.

Quelle: https://www.securityweek.com/north-korean-hackers-drain-285-million-from-drift-in-10-seconds/

Andere Artikel:

Von Sergii Pastbin

Sergii Pastbin ist ein versierter SEO- und Content-Spezialist, dessen Beiträge monatlich über 400.000 Impressionen und mehr als 40.000 Klicks erzielen. Mit über 100 veröffentlichten Artikeln, die in den Suchergebnissen von Google, Bing, DuckDuckGo und Ecosia konstant unter den Top 5 rangieren, deckt er ein breites Themenspektrum ab – von E-Commerce und Suchmaschinenoptimierung bis hin zu Kulinarik und Pentesting. In seiner Freizeit findet man Sergii häufig auf Laufstrecken, bei Open-Water-Schwimmeinheiten oder vertieft in Fachmagazinen rund um SEO und IT-Sicherheit. Seine große Leidenschaft gilt außerdem dem Kochen, wo er gerne Neues ausprobiert und kreativ wird.