Dr. Stephanie Morgenroth
Das dezentrale Handelsprotokoll Drift auf der Solana-Blockchain erlitt Anfang April 2026 einen der schwersten Admin-Takeover der jüngeren DeFi-Geschichte. Unbekannte Angreifer entwendeten rund 280 Millionen US-Dollar, indem sie einen privilegierten Account kompromittierten und dessen Rechte über sogenannte Durable Nonces missbrauchten, um dauerhafte Abhebungsgenehmigungen zu erteilen.
Der Angriffsmechanismus: Missbrauch von Durable Nonces
Der Exploit nutzte eine spezifische Eigenheit der Solana-Blockchain aus, die für komplexe Smart Contract-Interaktionen konzipiert wurde. Durable Nonces ermöglichen es, Transaktionen mit verlängerter Gültigkeit zu erstellen, indem sie anstelle eines aktuellen Blockhashes auf einen speziellen Nonce-Account verweisen. Dieser Mechanismus dient legitimen Zwecken wie Offline-Signierungen und zeitverzögerten Transaktionen, die über das übliche 90-Sekunden-Fenster von Solana hinaus gültig bleiben müssen, etwa für institutionelle Abwicklungen.
Die Angreifer erlangten Zugang zu einem Admin-Account des Drift-Protokolls, das perpetual Futures und Spot-Handel anbietet. Über diesen Account erteilten sie unautorisierte Genehmigungen für Massenabhebungen aus den Smart Contracts. Durch den Einsatz von Durable Nonces konnten sie dauerhaft gültige Abhebungstransaktionen erstellen, die selbst nach einer Verzögerung noch ausführbar blieben und somit das Extrahieren der 280 Millionen Dollar über einen längeren Zeitraum ermöglichten, ohne dabei auf Echtzeit-Signaturen angewiesen zu sein.
Das Volumen macht den Vorfall zu einem der größten Verluste durch kompromittierte Admin-Schlüssel im DeFi-Sektor. Besonders brisant ist die Kritik des Blockchain-Investigators ZachXBT an Circle, dem Emittenten von USDC. Der Stablecoin-Anbieter habe das Handling gestohlener Stablecoins während des aktiven Angriffs nicht optimal koordiniert. Die verzögerte Reaktion bei der Einfrierung verdächtiger Adressen erschwerte die Rückverfolgung der liquiden Assets erheblich und erlaubte den Tätern zusätzliche Zeit zur Verschleierung der Spuren über Cross-Chain-Bridges und Mixer-Dienste.
Strukturelle Schwächen und systemische Risiken
Der Fall Drift offenbart eine fundamentale Schwäche, die viele DeFi-Protokolle trotz ihres Dezentralisierungsanspruchs teilen: die Konzentration kritischer Rechte in wenigen Admin-Accounts. Nutzer vertrauen darauf, dass DeFi-Plattformen ohne zentrale Kontrollinstanzen funktionieren. Wenn jedoch ein einzelner Schlüssel ausreicht, um 280 Millionen Dollar zu bewegen, untergräbt dies das fundamentale Vertrauensmodell der Branche und erinnert an die zentralisierten Börsenstrukturen, die das Ökosystem eigentlich überwinden will.
Die Kritik an Circle verweist auf eine zweite Ebene der Verwundbarkeit. Zentrale Stablecoin-Emittenten fungieren als de facto Gatekeeper im DeFi-Ökosystem, da sie die technische Möglichkeit besitzen, Adressen auf ihre Blacklist zu setzen und Transaktionen einzufrieren. Ihre Bereitschaft und Geschwindigkeit bei der Reaktion auf Exploits bestimmt maßgeblich, ob gestohlene Gelder zurückgewonnen werden können. Die ineffiziente Koordination während des Drift-Vorfalls zeigt, dass selbst etablierte Institutionen wie Circle in Krisensituationen Schnittstellenprobleme zwischen Compliance-Abteilungen und On-Chain-Operations aufweisen können, was die Effektivität von Rückführungsmaßnahmen mindert.
Für das Solana-Ökosystem stellt der Verlust eine erhebliche Belastung dar. Drift zählt zu den liquidesten perpetual DEXs auf der Chain und war ein zentraler Baustein der DeFi-Infrastruktur. Der Abfluss von 280 Millionen Dollar reduziert die Total Value Locked (TVL) drastisch und könnte das Vertrauen in die Sicherheit anderer Solana-basierter Protokolle untergraben. Die Abhängigkeit von Durable Nonces als Angriffsvektor wirft zudem Fragen zur Sicherheitsarchitektur solana-spezifischer DeFi-Anwendungen auf, die möglicherweise eine Überprüfung ihrer Nonce-Handling-Prozesse und eine stärkere Validierung von Admin-Transaktionen erfordern.
Die Incident beleuchtet zudem die Notwendigkeit robuster Governance-Mechanismen. Multi-Signature-Schemata, die mehrere unabhängige Parteien für kritische Transaktionen erfordern, sowie Timelocks, die Admin-Aktionen um 24 bis 48 Stunden verzögern, hätten den Schaden vermutlich minimiert oder ganz verhindert. Protokolle, die weiterhin auf Single-Key-Administration setzen, riskieren ähnliche Vorfälle und stehen zunehmend unter regulatorischem Druck, ihre Kontrollstrukturen zu transparentieren und abzusichern.
Fazit: Handlungsempfehlungen für Geschädigte und Anleger
Wenn du zum Zeitpunkt des Angriffs Vermögenswerte bei Drift hinterlegt hattest, solltest du umgehend alle aktiven Token-Allowances für das Protokoll widerrufen. Nutze dafür spezialisierte Tools wie Revoke.cash oder die native Funktion deiner Wallet, um zu verhindern, dass kompromittierte Contracts weiterhin Zugriff auf deine Gelder erhalten, falls das Protokoll reaktiviert wird.
Interagiere nicht mit dem Protokoll, bis das Entwicklerteam eine formale Bestätigung der Sicherheit und eine Abschlussprüfung durch externe Auditoren veröffentlicht hat. Dokumentiere deine Kontostände vor dem Exploit mittels Screenshots und On-Chain-Daten als Nachweis für potenzielle Entschädigungsprogramme. Beobachte die offiziellen Kommunikationskanäle des Teams zu Recovery-Plänen, möglichen Airdrops für Geschädigte und Änderungen in der Governance-Struktur.
Für zukünftige Investments empfiehlt sich eine strengere Due Diligence bezüglich der Admin-Key-Struktur. Bevorzuge Protokolle mit transparenten Multi-Sig-Setups, die öffentlich einsehbare Timelocks nutzen und ihre Schlüsselverwaltung dezentralisiert haben. Die Nutzung von Hardware-Wallets wie Ledger oder BitBox02 schützt zwar nicht direkt vor Protokoll-Exploits, verhindert aber, dass persönliche Schlüssel kompromittiert werden und ermöglicht eine klarere Trennung von Berechtigungen bei der Interaktion mit DeFi-Plattformen.
Quelle: The Block
