Drift Protocol wurde gestohlen: 285 Millionen US-Dollar. Nordkoreanische Hacker bereiteten sich 6 Monate lang vor und nutzten Durable Nonce, um Mehrfachsignaturen zu umgehen

Die auf der Solana-Blockchain bekannte Derivateplattform Drift Protocol wurde am 1. April von einem Hackerangriff getroffen und erlitt einen Verlust von rund 2,85 Mio. US-Dollar. Die Plattform-Put-Lockups (TVL) sanken von rund 550 Mio. US-Dollar vor dem Vorfall auf etwa 230 Mio. US-Dollar nach dem Vorfall. Das Drift-Team veröffentlichte anschließend einen detaillierten Untersuchungsbericht und deckte auf, dass es sich um einen Social-Engineering-Angriff handelte, der 6 Monate andauerte und mit Ressourcen auf staatlicher Ebene unterstützt wurde.

6 Monate der Lauer: von Kryptokonferenzen bis zum Code-Repository

Laut der Untersuchung von Drift begannen die Angreifer bereits im Herbst 2025 mit der Vorbereitung. Sie traten als legales Quant-Trading-Unternehmen auf, kamen in mehreren Kryptokonferenzen mit Beitragsleistenden von Drift in Kontakt und bauten scheinbar echte berufliche Beziehungen auf. Während der 6 Monate dauernden Infiltration agierten die Angreifer:

Sie richteten Telegram-Gruppen ein und diskutierten mit dem Drift-Team Handelsstrategien

Sie schafften Glaubwürdigkeit, indem sie mit echtem Kapital (über 1 Mio. US-Dollar) im Ökosystem Vault aufbauten

Sie führten mehrfach Arbeitstreffen in mehreren Ländern durch

Der finale Einbruch dürfte über zwei Kanäle erfolgt sein: Ein Beitragsleistender kopierte ein Code-Repository, das möglicherweise eine bekannte Schwachstelle ausnutzen konnte, und zwar in VSCode/Cursor; ein anderer Beitragsleistender lud die TestFlight-App herunter, die der Angreifer unter dem Namen „Wallet Product“ bereitgestellt hatte.

Technik: Durable Nonce bei vorab signierten Transaktionen zum Umgehen von Multisig

Auf technischer Ebene nutzten die Angreifer den Mechanismus des „Durable Nonce“-Kontos auf Solana – eine Funktion, die es erlaubt, Transaktionen im Voraus zu signieren und die Ausführung zeitlich zu verschieben. Die Angreifer nutzten ihn, um alle Signaturen für die bösartigen Transaktionen im Voraus vorzubereiten, und führten sie dann mit einem Schlag aus, sobald sie über ausreichende Berechtigungen verfügten – sodass der Verteidigung nur sehr wenig Reaktionszeit blieb.

Die Angreifer erlangten schnell die Verwaltungsvollmacht des Drift-Sicherheitsausschusses und räumten anschließend die betreffenden Vermögenswerte ab. Drift betonte im Nachhinein, dass alle Multisig-Mitglieder Cold Wallets verwenden, doch der Angriff trotzdem nicht verhindert werden konnte. Das zeige, dass, „wenn Angriffe auf der menschlichen Ebene ansetzen, selbst strenge Hardware-Kontrollen möglicherweise umgangen werden können“.

Zielt auf Nordkorea: UNC4736 – dieselbe Tätergruppe wie bei Radiant Capital

Drift gab an, die Angriffe mit „mittlerer bis hoher Zuversicht“ UNC4736 zuzuschreiben (auch bekannt als Citrine Sleet, AppleJeus), einer Hackergruppe mit Verbindung zur nordkoreanischen Regierung. Die Untersuchung stellte fest, dass das Muster des Vorfalls stark mit dem Angriff übereinstimmt, der im Oktober 2024 zu einem Verlust von 58 Mio. US-Dollar bei Radiant Capital führte. Man geht davon aus, dass es aus derselben Tätergruppe stammte.

Circle wird kritisiert: Warum wurden gestohlene USDC nicht sofort eingefroren?

Nach dem Angriff lag ein weiterer Diskussionspunkt auf der Reaktionsgeschwindigkeit von Circle. Laut Daten von PeckShield stahlen die Angreifer rund 71 Mio. US-Dollar USDC aus Drift und konnten, nachdem sie andere gestohlene Vermögenswerte in USDC umgewandelt hatten, mithilfe der Cross-Chain-Überweisungsvereinbarung (CCTP) von Circle etwa 232 Mio. US-Dollar USDC von Solana über die Brücke auf Ethereum transferieren. Dadurch stieg die Schwierigkeit, die Gelder zurückzufordern, deutlich.

Der bekannte On-Chain-Analyst ZachXBT kritisierte Circle dafür, zu langsam gehandelt zu haben, und verwies auf einen sarkastischen Kontrast: Am selben Tag, an dem die Angreifer das Durable-Nonce-Konto einrichteten (23. März), fror Circle jedoch innerhalb weniger Minuten 16 kommerzielle Hot Wallets ein – ausgelöst durch eine US-amerikanische zivilrechtliche Klage. Doch angesichts eines DeFi-Angriffs in einer Größenordnung weit über einer neunstelligem Betrag erfolgte keine ebenso schnelle Maßnahme.

Die Antwort von Circle lautete: „Circle ist ein reguliertes Unternehmen und arbeitet ordnungsgemäß gemäß den Sanktionsvorgaben, Vollzugsanordnungen und Gerichtsbeschlüssen. Wir frieren Vermögenswerte in den Fällen ein, in denen dies gesetzlich erforderlich ist – um die Rechtsstaatlichkeit zu wahren und die Rechte und die Privatsphäre der Nutzer zu schützen.“ Der Rechtsberater von Plume rief die Legislative hingegen dazu auf, ein „Safe-Harbor“-Mechanismus zu schaffen, damit Emittenten von Stablecoins Vermögenswerte einfrieren können, wenn sie auf vernünftiger Grundlage davon ausgehen, dass Gelder möglicherweise rechtswidrig sind, ohne zivilrechtlich haftbar zu sein.

Warnsignal für die DeFi-Industrie

Die Ankündigung von Drift erregte in der Branche große Aufmerksamkeit. Der Vorfall macht klar, dass staatliche Hackergruppen bei DeFi-Protokollen über einen Zeitraum von mehreren Monaten HUMINT-(Human Intelligence)-Maßnahmen durchführen und sich nicht nur auf technische Schwachstellen verlassen. Zu den zentralen Lehren gehören: keine externen Repositories auf Maschinen zu kopieren, die Produktionsschlüssel oder Multisig enthalten; keine Drittanbieter-Apps zu installieren oder unbekannte Links zu öffnen; die Trennung von Geräten und Zugriffsberechtigungen muss konsequent und vollständig umgesetzt werden.

Dieser Artikel: Drift Protocol wurde um 285 Mio. US-Dollar bestohlen – nordkoreanische Hacker planen 6 Monate lang, umgehen Multisig mithilfe von Durable Nonce; erscheint zuerst in Chain News ABMedia.