Am 1. April bestätigte der Solana-basierte dezentrale Perpetuals-Austausch Drift Protocol einen aktiven Sicherheitsverstoß, der den Verlust von ca. 280 Millionen US-Dollar an Benutzerfonds zur Folge hatte. Innerhalb weniger Minuten nach der Erkennung ungewöhnlicher On-Chain-Transaktionen setzte das Drift-Team alle Einzahlungen und Abhebungen aus und mobilisierte seine Sicherheitspartner, um den Vorfall einzudämmen. Drifts Postmortem-Bericht zeigte später, dass der Angreifer einen vor-signierten, dauerhaften Nonce-Mechanismus ausnutzte, um verzögerte Transaktionen ohne Erkennung auszuführen. Dieser Ansatz ermöglichte es dem böswilligen Akteur, Multisignatur-Signer dazu zu verleiten, scheinbar legitime Administratoroperationen zu genehmigen, wodurch eine sofortige Schwellenwertüberschreitung ausgelöst wurde.
Der Verstoß entwickelte sich in zwei Phasen. Zunächst erlangte der Angreifer zwei der fünf benötigten Signaturen an der neuen Multisig-Adresse des Protokolls, die erst Tage zuvor im Rahmen eines geplanten Upgrades bereitgestellt worden war. Ein verbliebener Signer aus dem vorherigen Multisig-Wallet behielt versehentlich Zugriff, und der Angreifer kompromittierte zwei weitere Signaturen durch gezielte operative Sicherheitsfehler. Innerhalb eines Timelock-Fensters von null Sekunden reichte der Akteur einen Vorschlag ein und genehmigte ihn, der alle Vermögenswerte aus Drifts Liquiditätstresor — bestehend aus USDC, Wrapped Bitcoin, Wrapped Ethereum und weiteren SPL-Tokens — auf eine externe Brieftasche transferierte.
Blockchain-Analyse von Elliptic und CertiK zeigte, dass Gelder wenige Minuten nach dem Abfluss über Circle's Cross-Chain Transfer Protocol (CCTP) auf Ethereum übertragen wurden. Die Bedrohungsintelligenz von Elliptic kennzeichnete Wallet-Adressen, die zuvor mit nordkoreanischen staatlich unterstützten Cybercrime-Kampagnen in Verbindung standen. Historische DPRK-Exploits, einschließlich des Wormhole-Hacks über 1,5 Milliarden USD im Jahr 2022 und des Bybit-Vorfalls im Februar 2025 über 2 Milliarden USD, weisen ähnliche Verhaltensmuster auf: Abhängigkeit von langlebigen Nonces oder Zeitverzögerungsfenstern und die Priorisierung hochliquider Stablecoin-Flows.
Branchenbeteiligte reagierten schnell. Die Solana Foundation leitete eine Code-Überprüfung der Handhabung langlebiger Nonces ein, während Circle veraltete Mesh-Routing-Knoten pausierte, um weitere unautorisierte USDC-Brücken zu verhindern. Drift Protocol wandte sich an Strafverfolgungsbehörden, einschließlich des National Cryptocurrency Enforcement Team des US-Justizministeriums, um gestohlene Vermögenswerte über zentrale und dezentrale Plattformen hinweg zu verfolgen. On-Chain-Wiederherstellungsoptionen bleiben begrenzt, aber die Protokoll-Governance hat einen Plan zur Rückgewinnung von Sicherheiten vorgeschlagen, finanziert von Ökosystem-Versicherungs-Pools.
Der Exploit unterstreicht anhaltende Verwundbarkeiten in Multisignatur-Schemata und das menschliche Element in der betrieblichen Sicherheit. Der Gründer von Drift kündigte Pläne an, hardwarebasierte Schlüsselverwaltungs-Lösungen zu integrieren und mehrteilige Genehmigungen über Threshold-Signature-Schemes (TSS) mit verlängerten Time-Locks zu erzwingen. Da DeFi-TVLs über alle Netzwerke hinweg mehr als 200 Milliarden USD erreichen, erinnert der Drift-Hack daran, dass Governance-Hygiene und Cross-Chain-Risikokontrollen entscheidend sind, um die dezentrale Finanzinfrastruktur zu schützen.
Kommentare (0)