Drift Protocol-Hack entzieht 285 Mio. $, trifft Solana DeFi hart

• Ein Drift-Exploit entleerte $285M über die Admin-Kontrolle, was zu einem Rückgang des TVL, einem Token-Crash und einem Stillstand der Aktivitäten im gesamten Solana-DeFi führte.

• Der Angriff nutzte die Manipulation von Orakeln und eine schwache Governance, um die Sicherheiten aufzublähen und reale Assets schnell abzuziehen.

• Die Gelder wurden über Ketten hinweg nach Ethereum transferiert, was die Wiederherstellung erschwert, während Ermittlungen und Maßnahmen der Strafverfolgung weiterlaufen.

Ein plötzlicher Exploit beim Drift Protocol am 1. April 2026 löschte etwa $285 Millionen aus und brachte das Solana-DeFi-Sektor innerhalb weniger Minuten ins Wanken. Angreifer übernahmen die Admin-Kontrolle, entleerten die Vault-Gelder und lösten starke Rückgänge bei der Handelsaktivität, im Open Interest und beim Total Value Locked aus. Das zwang mehrere Plattformen zum Stopp des Betriebs und zur Bewertung ihres Risikos.

Exploit Löst Schnellen Marktrückzug Aus

Drift Protocol bestätigte den Angriff kurz nachdem ungewöhnliche Aktivitäten in der On-Chain-Transparenz sichtbar geworden waren. Das Team setzte Deposits und Withdrawals rasch aus, um die Sicherheitslücke einzudämmen. Allerdings hatte der Schaden sich bereits in das gesamte Ökosystem ausgebreitet.

Innerhalb einer Stunde fiel Drifts Total Value Locked von rund $550 Millionen auf unter $300 Millionen. Gleichzeitig fiel der DRIFT-Token um mehr als 40%. In der Folge reduzierten Trader ihre Aktivität über Solana-basierte DeFi-Plattformen hinweg.

Mehrere verbundene Protokolle reagierten umgehend. PiggyBank_fi deckte etwa $106.000 an Exponierung mithilfe interner Mittel ab. Währenddessen pausierte Reflect Money das Minting und die Redemptions, und Ranger Finance stellte wichtige Funktionen ein, da potenzielle Verluste befürchtet wurden.

Angriff Nutzt Governance- und Preis-Lücken

Ermittler führten später im Detail aus, wie der Angreifer den Exploit ausführte. Laut On-Chain-Daten kombinierte die Sicherheitslücke einen kompromittierten Admin-Schlüssel, manipulierte Oracle-Preisbildung und schwache Governance-Kontrollen.

Der Angreifer erstellte einen Token namens CarbonVote Token und blähte dessen Wert durch Wash Trading auf. Im Laufe der Zeit griffen Preis-Orakel die künstliche Bewertung auf und behandelten sie als legitime Marktdaten.

Am 1. April listete der Angreifer den Token bei Drift unter Verwendung von Admin-Privilegien. Anschließend erhöhte er die Withdrawal-Limits und hinterlegte aufgedrängte Sicherheiten. So wurde das schnelle Ausleihen realer Assets ermöglicht.

In etwa 12 Minuten führte der Angreifer 31 Withdrawals durch und entleerte USDC, SOL und weitere Assets. Bemerkenswert: Das System benötigte nur zwei von fünf Signern und verfügte über keinen Timelock.

Gelder Schnellen über Ketten hinweg

Nach dem Exploit wandelte der Angreifer die Assets in USDC um und verlegte die Gelder off-chain. Blockchain-Aufzeichnungen zeigen Transfers nach Ethereum unter Nutzung von Circle’s Cross-Chain Transfer Protocol.

Auf Ethereum wurden Teile in ETH getauscht, während andere über Börsen liefen. Diese Bewegung erschwerte das Tracking und die Wiederherstellungsbemühungen.

Inzwischen kritisierte der Ermittler ZachXBT Circles Reaktion. Er stellte fest, dass große USDC-Transfers während der US-Zeiten stattfanden, ohne eingefroren zu werden. Das Team von Drift arbeitet weiterhin mit Strafverfolgung und Security-Partnern zusammen, während die Ermittlungen voranschreiten.