Drift Protocol: Admin-Schlüssel gestohlen – Angreifer räumt bis zu 285 Mio. US-Dollar ab

Ausgerechnet am 1. April schlug der Angriff ein – und viele hielten die ersten Hinweise zunächst für einen Aprilscherz. Doch für Drift Protocol, die größte Perpetuals-Börse auf Solana, war es bitterer Ernst: Gegen 13:30 Uhr meldeten die On-Chain-Tracker Lookonchain und PeckShield nahezu zeitgleich ungewöhnliche Abflüsse aus der Drift-Treasury. Eine Wallet mit dem Präfix "HkGz4K" begann, Vermögenswerte in hohem Tempo abzuziehen. Den Auftakt machte eine Transaktion über 410 Mio. JLP-Token im Wert von 155 Mio. US-Dollar. Kurz darauf folgten 51,6 Mio. USDC, 125.000 WSOL, 164.000 cbBTC und zahlreiche weitere Assets. Innerhalb etwa einer Stunde fiel das Vault-Volumen von 309 Mio. auf 41 Mio. US-Dollar – ein massiver Einbruch, der mehr als die Hälfte der TVL auslöschte. Drift bestätigte den Vorfall auf X in ungewöhnlich dringlichem Ton: Das Protokoll stehe "unter aktivem Angriff", Ein- und Auszahlungen seien pausiert. Man arbeite mit mehreren Security-Firmen, Cross-Chain-Bridges und Börsen zusammen, um den Schaden einzugrenzen. Der Satz, der sich schnell verbreitete: "This is not an April Fools joke." Wie groß der Schaden ist, variiert je nach Quelle. PeckShield beziffert die Beute auf rund 285 Mio. US-Dollar, Arkham spricht von über 250 Mio. US-Dollar, CertiK nennt in einer ersten Einschätzung etwa 136 Mio. US-Dollar. Unabhängig von der endgültigen Zahl wäre es der bislang größte DeFi-Sicherheitsvorfall des Jahres 2026. Entscheidend ist die Angriffsart. Laut PeckShield-Gründer Jiang Xuxian wurde der Admin-Key kompromittiert. On-Chain-Analysen deuten darauf hin, dass der Angreifer privilegierten Zugriff erlangte und die Abflüsse aus der Treasury direkt steuern konnte. Kein komplexer Smart-Contract-Exploit, keine Flash-Loan-Kaskade, keine Oracle-Manipulation – sondern ein klassischer Schlüsselverlust. On-Chain-Daten zeichnen zudem ein Bild vorbereiteter Vorgehensweise: Die Angreifer-Wallet erhielt ihre Startfinanzierung über Near Intents bereits acht Tage vor dem Angriff und blieb danach inaktiv. Rund eine Woche vor dem Abfluss ging sogar eine Mini-Transaktion über 2,52 US-Dollar aus der Drift-Treasury ein – offenbar ein Testlauf. Tage später folgte der groß angelegte Zugriff. Für Mitgründerin Cindy Leow bekommt der 1. April eine zusätzliche Ironie. Drift galt lange als eine der Vorzeigegeschichten im Solana-DeFi-Ökosystem. Leow startete 2016 mit Bitcoin-Arbitrage zwischen China und Korea, führte später einen Proprietary-Trading-Fonds und arbeitete an Derivate-Projekten auf Ethereum. 2021 gründete sie Drift gemeinsam mit David Lu, um auf Solanas Geschwindigkeit On-Chain-Perpetuals aufzubauen. Das Projekt traf mehrere Marktzyklen: 2024 folgten zwei Finanzierungsrunden unter Führung von Polychain und Multicoin mit insgesamt 525 Mio. US-Dollar. Drift startete einen Prognosemarkt als Konkurrenz zu Polymarket, führte bis zu 50x Leverage ein, meldete eine TVL von über 5,5 Mrd. US-Dollar und überschritt 50 Mrd. US-Dollar kumuliertes Handelsvolumen. In einem Fortune-Interview formulierte Leow das Ziel, das "Robinhood of crypto" zu werden. Nach dem Vorfall wirkt der Vergleich ernüchternd: Das Versprechen von "noncustodial" endet dort, wo ein einzelner Admin-Schlüssel letztlich die Kontrolle über die Vermögenswerte ermöglicht. Brisant: Schon 2022, zu Drift-v1-Zeiten, wurde die Treasury einmal geleert. Das Team veröffentlichte damals einen detaillierten technischen Bericht, inklusive Proofof-Concept-Code, der zeigte, wie ein Angreifer die Treasury in einer Transaktion leerräumen konnte. Der Schaden lag bei 14,5 Mio. US-Dollar und wurde vom Team vollständig erstattet. Vier Jahre später wiederholt sich das Szenario – in etwa 20-facher Größenordnung. Der Drift-Fall passt in ein Muster, das sich seit 2025 abzeichnet. Anfang 2025 wurde bei Resolv Labs der AWS Key Management Service kompromittiert; privilegierte Schlüssel ermöglichten großvolumige USR-Stablecoin-Minting-Aktionen und lösten Folgeschäden über mehrere Plattformen aus. Im selben Jahr erreichten Krypto-Diebstähle laut Chainalysis einen Rekordwert von 3,4 Mrd. US-Dollar. Der Bericht hob hervor, dass besonders verheerende Vorfälle zunehmend auf Infrastruktur-Ebene entstehen: kompromittierte Entwicklergeräte, einzelne Minting-Keys in der Cloud oder durch Social Engineering manipulierte Signaturprozesse. Im Zusammenspiel dieser Fälle wirkt eine Schlussfolgerung schwer vermeidbar: Private-Key-Sicherheit hat Smart-Contract-Schwachstellen als größtes systemisches DeFi-Risiko abgelöst. Viele Protokolle werben mit Dezentralisierung, "Trustlessness" und der Idee, dass Vermögen nur durch Code verwaltet werde. Praktisch existieren in nahezu jedem Live-Protokoll dennoch "Keys to the kingdom": Admin-Rechte, Upgrade-Privilegien, Treasury-Kontrolle, Notfall-Pause. Sie dienen der Sicherheit oder der Weiterentwicklung – bleiben aber ein zentraler Vertrauensanker in einem dezentralen Narrativ. Was mit den Geldern passierte, lässt sich teilweise nachverfolgen: Nach den Abhebungen aus dem Drift-Vault tauschte der Angreifer große Teile der Token in Stablecoins und transferierte Mittel über die Wormhole-Bridge auf Ethereum. Dort wurden Teile der Stablecoins genutzt, um rund 19.913 ETH zu kaufen (bewertet mit etwa 42,6 Mio. US-Dollar). Der Rest wurde auf mehrere Wallet-Adressen verteilt. Ein kurioses Detail: In der Angreifer-Wallet liegt weiterhin eine große Menge Fartcoin – etwa 2,5% des gesamten Token-Angebots. Ausgerechnet der mutmaßliche Täter des bislang größten DeFi-Coups 2026 hält also einen erheblichen Anteil an einem Meme-Coin. Zum Zeitpunkt der Veröffentlichung bleiben Ein- und Auszahlungen bei Drift ausgesetzt. Der DRIFT-Token fiel von etwa 0,072 US-Dollar vor dem Angriff auf rund 0,05 US-Dollar, ein Rückgang von über 28%. Vom Allzeithoch bei 2,60 US-Dollar beträgt das Minus kumuliert mehr als 98%. Phantom Wallet warnte Nutzer beim Zugriff auf Drift. Das Team arbeitet nach eigenen Angaben mit Security-Firmen, Bridge-Betreibern und zentralisierten Börsen zusammen, um Mittel einzufrieren und zu verfolgen – die Erfolgschancen gelten erfahrungsgemäß als gering, sobald Gelder über Bridges wandern und auf viele Wallets verteilt werden. Der Vorfall stellt eine unbequeme Frage in den Raum, die die Branche beantworten muss. Chainalysis hatte in seinem Bericht zum Jahresende 2025 noch von "substantial progress" bei DeFi-Sicherheit gesprochen: Die Verluste durch Hacks seien gesunken, während die TVL wieder auf 11,9 Mrd. US-Dollar gestiegen sei. Als positives Beispiel wurde Venus Protocol genannt, wo ein Monitoring-System 18 Stunden vor einem Angriff Anomalien erkannte, das Protokoll rasch pausierte und die Governance die Angreifer-Gelder einfror – der Angreifer habe am Ende sogar Verlust gemacht. Drift konterkariert diese Fortschritts-Erzählung. Selbst perfekte Audits und hochentwickeltes On-Chain-Monitoring helfen wenig, wenn ein einzelner Admin-Key durch Phishing, Social Engineering oder andere Wege kompromittiert wird. Dann bricht die Sicherheitsarchitektur in sich zusammen. Die Diskussion dreht sich damit um den Kernbegriff "noncustodial": Was bedeutet er, wenn ein Admin-Key theoretisch jederzeit sämtliche Vault-Assets bewegen kann? Worin liegt dann der Unterschied zu einer Einzahlung bei einer Bank, deren Eigentümer man nicht kennt – nur ohne Einlagensicherung, Regulierung und Rechtsweg? Administrative Privilegien lassen sich nicht in jedem Fall abschaffen; Notfall-Stopps und Upgrades sind oft notwendig. Doch die Branche sollte aufhören, so zu tun, als gäbe es diese zentralen Schalter nicht. Multisignaturen, Timelocks, Hardware Security Modules und Key Rotation sind seit Jahren verfügbar. Trotzdem hängen vielerorts Hunderte Millionen US-Dollar an der Fehlerfreiheit weniger Personen. Der Traum vom "Krypto-Robinhood" klingt attraktiv. Vorher muss eine grundlegendere Frage geklärt werden: Wer hält den Schlüssel?