Drift Protocol veröffentlichte am Samstag seinen bisher detailliertesten Bericht über den Exploit vom 1. April, bei dem der Solana-basierte Perpetuals-Börse etwa 280 Millionen Dollar entzogen wurden. Das Team bezeichnete den Vorfall als eine "strukturierte Geheimdienstoperation", deren Inszenierung rund sechs Monate dauerte.
Laut dem Update erfolgte der erste Kontakt im oder um Herbst 2025, als Personen, die sich als quantitatives Handelsunternehmen ausgaben, Drift-Mitwirkende auf einer großen Krypto-Konferenz ansprachen und Interesse an einer Integration in das Protokoll bekundeten. Bei diesem ersten Treffen wurde eine Telegram-Gruppe eingerichtet, und dieselben Personen trafen sich in den folgenden Monaten weiterhin persönlich mit Drift-Mitwirkenden auf Branchenveranstaltungen in mehreren Ländern.
Zwischen Dezember 2025 und Januar 2026 richtete die Gruppe einen Ecosystem Vault auf Drift ein, füllte das Standard-Strategieformular aus, nahm an mehreren Arbeitssitzungen mit Mitwirkenden teil und zahlte über 1 Million Dollar eigenes Kapital ein. Drift erklärte, dieses Verhalten sei im Einklang mit der Art und Weise, wie legitime Handelsunternehmen sich typischerweise in das Protokoll integrieren.
Die forensische Überprüfung der betroffenen Geräte und Kommunikationsverläufe nach dem Exploit wies auf diese Beziehung als wahrscheinlichen Intrusionspfad hin. Drift sagte, die Telegram-Chats der Gruppe und die zugehörige bösartige Software seien in dem Moment, als der Angriff live ging, gelöscht worden.
Drifts vorläufige Einschätzung identifiziert zwei mögliche Kompromittierungsmethoden. Ein Mitwirkender könnte nach dem Klonen eines Code-Repositories infiziert worden sein, das die Gruppe unter dem Vorwand, ein Frontend für ihren Vault bereitzustellen, geteilt hatte. Ein zweiter Mitwirkender wurde dazu gebracht, eine Beta-Version einer App über Apples TestFlight-Build zu installieren, die die Gruppe als ihr Wallet-Produkt beschrieb.
Für den Repository-Pfad wies Drift auf eine VS Code- und Cursor-Schwachstelle hin, vor der Sicherheitsforscher zwischen Dezember 2025 und Februar 2026 öffentlich gewarnt hatten. Bei dieser Schwachstelle konnte das bloße Öffnen einer Datei, eines Ordners oder eines Repositorys im Editor still und ohne Benutzeraufforderung beliebigen Code ausführen.
Der Exploit selbst, wie The Block zuvor berichtete, betraf keinen Smart-Contract-Fehler. Drift hat ihn als einen „neuartigen Angriff mit dauerhaften Nonces“ beschrieben, ein legitimes Solana-Primitiv, das es ermöglicht, Transaktionen vorab zu signieren und später auszuführen. Der Angreifer erhielt im Voraus Multisig-Genehmigungen, wahrscheinlich durch Social Engineering oder Transaktionsfalschdarstellung, und nutzte dann die vorab signierten Autorisierungen, um die administrativen Befugnisse des Sicherheitsrats zu erlangen und das Protokoll innerhalb von Minuten zu leeren.
Drift erklärte, dass es mit Unterstützung des SEAL 911-Teams mit „mittelhoher Gewissheit“ einschätzt, dass die Operation von denselben staatlich geförderten nordkoreanischen Akteuren durchgeführt wurde, die für den 50 Millionen Dollar Hack von Radiant Capital im Oktober 2024 verantwortlich waren, den Mandiant UNC4736, auch bekannt als AppleJeus oder Citrine Sleet, zugeschrieben hat, einer Hackergruppe mit Verbindungen zum Aufklärungsamt des Landes.
Die Verbindung basiert laut Drift sowohl auf On-Chain- als auch auf operativen Überschneidungen. Geldflüsse, die zur Inszenierung und zum Testen der Drift-Operation verwendet wurden, lassen sich auf die Radiant-Angreifer zurückverfolgen, und die im Laufe der Kampagne eingesetzten Personas weisen identifizierbare Überschneidungen mit bekannten, mit der DVRK verbundenen Aktivitäten auf, so Drift.
Bemerkenswerterweise betonte Drift, dass die Personen, die persönlich auf Konferenzen auftraten, keine nordkoreanischen Staatsbürger waren. DPRK-Bedrohungsakteure, die auf dieser Ebene operieren, sind dafür bekannt, Drittvermittler einzusetzen, um Beziehungsarbeit zu leisten, so das Protokoll. Die in dieser Operation verwendeten Profile verfügten über vollständige Berufslaufbahnen, öffentliche Referenzen und professionelle Netzwerke, die darauf ausgelegt waren, einer Due Diligence der Gegenpartei standzuhalten.
Mandiant, das Drift mit der Leitung der forensischen Untersuchung beauftragt hat, hat den Drift-Exploit noch nicht offiziell zugeschrieben. Diese Feststellung steht noch aus, bis die Geräteforensik abgeschlossen ist.
Drift erklärte, dass alle verbleibenden Protokollfunktionen eingefroren wurden, die kompromittierten Wallets aus der Multisig entfernt wurden und Angreiferadressen bei Börsen und Bridge-Betreibern gemeldet wurden. Der On-Chain-Detektiv ZachXBT hat den Stablecoin-Emittenten Circle separat für das kritisiert, was er als langsame Reaktion bezeichnete, und behauptete, der Angreifer habe etwa 232 Millionen USDC über CCTP innerhalb von sechs Stunden von Solana nach Ethereum transferiert, ohne dass Gelder eingefroren wurden.
Der Drift-Exploit ist der bislang größte DeFi-Hack des Jahres 2026 und rangiert als zweitgrößter Sicherheitsvorfall in der Geschichte von Solana nach dem 325 Millionen Dollar schweren Wormhole-Bridge-Angriff im Jahr 2022.
Drift dankte den unabhängigen Forschern und SEAL 911-Mitgliedern Taylor Monahan, tanuki42_, pcaversaccio und Nick Bax für ihre Arbeit bei der Identifizierung der Akteure und forderte alle Teams auf, die glauben, von derselben Gruppe ins Visier genommen worden zu sein, sich direkt an SEAL 911 zu wenden.
„Aber mal ehrlich – das ist der ausgeklügeltste und gezielteste Angriff, den ich von der DVRK im Krypto-Bereich gesehen habe“, schrieb tanuki42_ auf X und warnte zusätzlich, dass auch andere Protokolle ins Visier genommen worden sein könnten. „Mehrere Vermittler anzuwerben und sie dann dazu zu bringen, bestimmte Personen im echten Leben auf großen Krypto-Events anzugreifen, ist eine wilde Taktik.“
Haftungsausschluss: The Block ist ein unabhängiges Medienunternehmen, das Nachrichten, Forschung und Daten liefert. Stand November 2023 ist Foresight Ventures ein Mehrheitsinvestor von The Block. Foresight Ventures investiert in andere Unternehmen im Krypto-Bereich. Die Krypto-Börse Bitget ist ein Anker-LP für Foresight Ventures. The Block arbeitet weiterhin unabhängig, um objektive, wirkungsvolle und zeitnahe Informationen über die Krypto-Branche zu liefern. Hier sind unsere aktuellen finanziellen Offenlegungen.
© 2026 The Block. Alle Rechte vorbehalten. Dieser Artikel dient ausschließlich Informationszwecken. Er wird nicht als rechtliche, steuerliche, Anlage-, finanzielle oder sonstige Beratung angeboten oder ist dazu bestimmt.
