Drift Protocol führt 280-Mio.-US-Dollar-Hack auf Exploit mit "Durable Nonce" zurück

Drift Protocol macht eine Angriffsmethode mit sogenannten "Durable Nonce"-Konten für den jüngsten Diebstahl von mehr als 280 Mio. US-Dollar in Kryptowerten verantwortlich. Die auf Solana basierende DeFi-Plattform erklärte, der Angreifer habe über vorab signierte Freigaben ("presigned approvals") Transaktionen vorbereitet und zeitversetzt ausgeführt. Der Vorfall gilt als größter Krypto-Hack des Jahres 2026. Erste Auffälligkeiten wurden am 1. April registriert, als Vermögenswerte aus dem Wallet-Tresor der DEX in eine Solana-Adresse verschoben wurden. Den Auftakt machten 41 Mio. JLP-Token, danach folgten weitere Token. In der Community war zunächst spekuliert worden, der Zugriff könne auf einen kompromittierten Private Key zurückgehen. Drift widersprach und führte aus, der Angriff habe durable nonces genutzt: Es habe sich um eine "hochgradig ausgefeilte Operation" mit mehrwöchiger Vorbereitung und gestaffelter Umsetzung gehandelt, bei der über Durable-Nonce-Accounts Transaktionen vorab signiert und die Ausführung verzögert worden sei. Durable Nonces sind eine Solana-Funktion, mit der Transaktionen nicht automatisch verfallen. Dadurch werden verzögerte Ausführungen, Offline-Signaturen und das spätere Einreichen bereits signierter Transaktionen möglich. Laut vorläufigem Bericht lag weder ein Fehler in den Smart Contracts noch ein Abfluss von Seed-Phrases vor. Stattdessen habe der Angreifer mithilfe von durable nonces und Social Engineering unautorisierte oder irreführend eingeholte Transaktionsfreigaben erlangt. Diese Freigaben seien später genutzt worden, um den Exploit auszuführen, der mehrere Protokolle im Solana-Ökosystem in Mitleidenschaft zog. Piggybank_fi, Ranger Finance, TradeNeutral, Elemental DeFi, Reflect Money und weitere Projekte meldeten entweder nur geringe Exponierung oder stoppten Ein- und Auszahlungen. Am Markt belastete der Vorfall auch Solana: SOL gab um 5% nach und fiel im Tagesverlauf bis auf 78 US-Dollar. Damit verstärkte sich der Druck auf den Token, der seit Jahresbeginn bereits 37% verloren hat. Der DRIFT-Token sank zudem um 25%. Die Ermittlungen deuten auf eine frühe Vorbereitung hin. Drift zufolge verschaffte sich der Angreifer bereits am 23. März Zugriff auf das Drift-Multisig, als der erste Nonce gesetzt wurde. Zu diesem Zeitpunkt seien vier Nonce-Accounts angelegt worden; der Angreifer habe zwei kontrolliert, zwei lagen bei Mitgliedern des Drift Security Council. Damit habe der Angreifer faktisch Kontrolle über 2/5 der Multisig-Signer erlangt und Transaktionen in Verbindung mit Durable-Nonce-Accounts signieren können, um eine spätere Ausführung zu ermöglichen. Diese Position habe der Angreifer auch nach einer weiteren Multisig-Migration am 27. März infolge veränderter Council-Mitgliedschaften gehalten. Vor dem eigentlichen Exploit sei ein Test-Withdrawal aus dem Versicherungsfonds erfolgt. Danach sei es zu einem "Admin Takeover" gekommen, bei dem vorab signierte Durable-Nonce-Transaktionen ausgeführt wurden. Drift fasste die Ursache als Kombination aus vorab signierten Durable-Nonce-Transaktionen mit verzögerter Ausführung und der Kompromittierung mehrerer Multisig-Freigaben zusammen, vermutlich durch gezieltes Social Engineering oder das irreführende Darstellen von Transaktionen. Das Protokoll teilte mit, man koordiniere sich mit Security-Firmen, Strafverfolgungsbehörden und weiteren Beteiligten, um die gestohlenen Assets nachzuverfolgen und einzufrieren. Gleichzeitig gibt es Kritik an den Governance-Einstellungen: Nutzer bemängeln, dass eine 2/5-Schwelle zur Transaktionsfreigabe zu riskant sei und den Angriff begünstigt habe.