Drift Protocol offenbar um 285 Mio. US-Dollar erleichtert: DeFis "God Key"-Risiko rückt in den Fokus

Autor: Shenchao TechFlow 1. April, Aprilscherz-Tag. Als beim Drift Protocol, der größten Perpetuals-Börse auf Solana, plötzlich Mittel aus den Tresoren abflossen, lautete die erste Reaktion in der Community: "Guter Aprilscherz." Es war keiner. Gegen 13:30 Uhr schlugen die Onchain-Monitoring-Accounts Lookonchain und PeckShield nahezu zeitgleich Alarm: Eine unbekannte Wallet mit dem Prefix "HkGz4K" begann, Vermögenswerte aus Drifts Treasury in hoher Geschwindigkeit abzuziehen. Der erste Abfluss: 410 Mio. JLP-Token im Gegenwert von 155 Mio. US-Dollar. Kurz darauf folgten 51,6 Mio. USDC, 125.000 WSOL, 164.000 cbBTC und weitere Assets. Innerhalb einer Stunde sank das Vault-Volumen von 309 Mio. auf 41 Mio. US-Dollar; mehr als die Hälfte des TVL war damit ausgelöscht. Drift reagierte auf X mit ungewöhnlich dringlichem Ton: "Drift Protocol wird aktiv angegriffen. Ein- und Auszahlungen wurden pausiert. Wir koordinieren uns mit mehreren Security-Firmen, Cross-Chain-Bridges und Börsen, um die Lage einzudämmen." Und der Satz, der hängen blieb: "Das ist kein Aprilscherz." Unklar bleibt bislang die exakte Schadenssumme. PeckShield beziffert den Abfluss auf rund 285 Mio. US-Dollar, Arkham meldet über 250 Mio. US-Dollar, CertiK nennt in einer ersten Einschätzung etwa 136 Mio. US-Dollar. Unabhängig von der endgültigen Zahl gilt der Vorfall als bislang größter DeFi-Sicherheitszwischenfall des Jahres 2026. Noch gravierender als die Summe ist das Muster. PeckShield-Gründer Jiang Xuxian sagte Decrypt: "Der Admin-Key hinter Drift wurde offensichtlich kompromittiert oder ist durchgesickert." Onchain-Analysen deuten darauf hin, dass sich der Angreifer privilegierten Zugriff auf das Protokoll verschaffte und anschließend die Mittelströme aus dem Treasury steuerte. Keine komplexe Smart-Contract-Lücke, kein Flash-Loan, keine Oracle-Manipulation, sondern ein klassischer Ausfall: ein verlorener oder abgegriffener Private Key. Die Onchain-Spuren sprechen zudem für Vorbereitung. Die Wallet wurde acht Tage vor dem Angriff über Near Intents initial finanziert und blieb danach inaktiv. Eine Woche vor dem Abfluss erhielt sie aus Drifts Treasury eine Kleinstüberweisung von 2,52 US-Dollar, offenbar als Test. Sieben Tage später folgte der große Zugriff. Für Mitgründerin Cindy Leow trifft der 1. April besonders hart. Die Karriere der malaysisch-chinesischen Unternehmerin galt in Solana DeFi als Blaupause: 2016 Bitcoin-Arbitrage zwischen China und Korea, später ein Proprietary-Fund, Beiträge zu Derivateprojekten auf Ethereum. 2021 gründete sie Drift gemeinsam mit David Lu und setzte auf Solanas Geschwindigkeitsvorteil für Onchain-Perpetuals. Drift ritt viele Wellen: 2024 folgten zwei Finanzierungsrunden unter Führung von Polychain und Multicoin über insgesamt 525 Mio. US-Dollar. Das Projekt startete einen Prognosemarkt als Konkurrenz zu Polymarket, führte 50x Hebel ein, überschritt 550 Mio. US-Dollar TVL und meldete kumuliert mehr als 50 Mrd. US-Dollar Handelsvolumen. In einem Fortune-Interview formulierte Leow den Anspruch, das "Robinhood der Krypto-Welt" zu werden. Dieser Vergleich klingt nach dem Angriff bitter. Drifts Kernversprechen: "noncustodial" Trading, bei dem Nutzervermögen nicht in fremde Hände gelangt, sondern nur mit Code interagiert. Der Vorfall zeigt die Kehrseite: Hinter dem Code existiert ein Admin-Key, dessen Sicherheit letztlich von Menschen abhängt. Hinzu kommt eine unbequeme Parallele: Schon 2022, in der Drift-v1-Phase, wurde das Treasury in einem ähnlichen Vorfall geleert. Das Team veröffentlichte danach einen außergewöhnlich detaillierten technischen Bericht inklusive Proof-of-Concept-Code, wie sich ein Treasury mit einer einzigen Transaktion leerräumen ließe. Der damalige Schaden lag bei 14,5 Mio. US-Dollar und wurde laut Team vollständig aus eigener Tasche ersetzt. Vier Jahre später wiederholt sich das Szenario, diesmal in etwa zwanzigfacher Größenordnung. Im Branchenkontext passt Drift in ein Muster: Anfang 2025 wurde bei Resolv Labs der AWS Key Management Service kompromittiert. Angreifer nutzten privilegierte Schlüssel, um großvolumige Minting-Operationen des USR-Stablecoins zu autorisieren, mit Folgeschäden über mehrere Plattformen. Im selben Jahr erreichten Krypto-Diebstähle laut Branchenstatistiken mit 3,4 Mrd. US-Dollar einen Rekordwert; Chainalysis verwies auf eine Verlagerung hin zu Infrastruktur-Angriffen. Kompromittierte Entwicklerrechner, einzelne Mint-Keys in der Cloud, social-engineering-gestützte Signaturprozesse wurden zu den eigentlichen Verlusttreibern. Drift verstärkt die These: Private-Key-Sicherheit verdrängt Smart-Contract-Bugs als größtes systemisches DeFi-Risiko. Protokolle erzählen von "Dezentralisierung", "Trustlessness" und "Non-Custodial". Nutzer glauben, sie vertrauen Mathematik. In der Praxis besitzen fast alle Live-Protokolle eine oder mehrere "Schlüssel zum Königreich": Admin-Rechte, Upgrade-Privilegien, Treasury-Kontrolle, Notfall-Pause-Schalter. Sie können sinnvoll sein, bleiben aber ein zentraler Vertrauensanker in einem dezentralen Narrativ. Wohin flossen die Mittel? Der Angreifer agierte laut Onchain-Daten strukturiert. Nach den Abzügen wurden viele Token rasch in Stablecoins getauscht und über die Wormhole-Crosschain-Bridge ins Ethereum-Netzwerk transferiert. Dort kaufte der Angreifer mit einem Teil der Stablecoins rund 19.913 ETH (im Wert von etwa 42,6 Mio. US-Dollar); der Rest wurde auf mehrere Wallet-Adressen verteilt. Ein skurriles Detail: Die Angreifer-Wallet hält weiterhin eine große Menge Fartcoin, rund 2,5% des gesamten Token-Supplies. Der mutmaßliche Täter des bislang größten DeFi-Diebstahls des Jahres sitzt damit zugleich auf einem Meme-Coin-Berg. Zum Redaktionsschluss bleiben Ein- und Auszahlungen bei Drift ausgesetzt. Der DRIFT-Token fiel von rund 0,072 US-Dollar vor dem Angriff auf etwa 0,05 US-Dollar, ein Minus von über 28%. Vom Allzeithoch bei 2,60 US-Dollar beträgt der Rückgang kumuliert mehr als 98%. Phantom Wallet warnte Nutzer beim Versuch, auf Drift zuzugreifen. Drift teilt mit, man koordiniere sich mit Security-Firmen, Bridge-Betreibern und zentralisierten Börsen, um gestohlene Mittel zu lokalisieren und nach Möglichkeit einzufrieren. Die Erfahrung zeigt: Sobald Gelder gebridged und über mehrere Wallets verteilt sind, sinken die Rückgewinnungschancen deutlich. Der Vorfall zwingt die Branche zu einer unangenehmen Frage. Chainalysis schrieb in seinem Bericht zum Jahresende 2025, DeFi-Sicherheit habe "substantielle Fortschritte" gemacht; trotz verdoppeltem TVL auf 11,9 Mrd. US-Dollar seien die Hack-Verluste gesunken. Als Positivbeispiel wurde Venus Protocol genannt: Ein Monitoring-System erkannte Unregelmäßigkeiten 18 Stunden vor dem Angriff, das Protokoll pausierte den Betrieb und Governance fror Angreifer-Gelder ein, am Ende machte der Angreifer sogar Verlust. Drift konterkariert diese Fortschritts-Erzählung. Audits, Monitoring, modernste Onchain-Tools helfen wenig, wenn ein einzelner Admin-Key durch Phishing, Social Engineering oder Brute Force kompromittiert wird. Dann bricht die Sicherheitsarchitektur in sich zusammen. Die zentrale Frage lautet: Was bedeutet "noncustodial" in der Praxis? Wenn ein Protokoll-Admin-Key jederzeit sämtliche Vault-Assets transferieren kann, worin unterscheidet sich das für Nutzer von einer Einzahlung auf ein Bankkonto, das einer unbekannten Partei gehört? Banken bieten zumindest Versicherung, Regulierung und Rechtswege. Die Lösung muss nicht zwingend heißen, administrative Privilegien vollständig abzuschaffen. Häufig sind sie aus operativen oder sicherheitsrelevanten Gründen notwendig. Die Branche sollte aber aufhören, so zu tun, als existierten sie nicht. Multisignature-Governance, Timelocks, Hardware Security Modules, Key Rotation: Diese Mechanismen sind seit Jahren verfügbar. Trotzdem verlassen sich zu viele Protokolle bei Beträgen in dreistelliger Millionenhöhe auf die Fehlerfreiheit von ein oder zwei Menschen. Die Vision eines "Krypto-Robinhood" klingt attraktiv. Bevor sie Realität wird, braucht es eine grundlegendere Antwort: Wer hält den Schlüssel?