Der 1. April 2026 war kein Scherz — und Drift Protocol stellte das sofort klar mit einem Beitrag auf X, der an diesem Tag besonders surreal wirkte: "This is not an April Fools joke."
In zwölf Minuten hatte die führende dezentrale Perpetuals-Börse auf Solana 285 Millionen US-Dollar verloren. Nicht durch einen Code-Fehler. Durch etwas, das weit schwieriger zu beheben ist.
Drei Wochen Vorbereitung, zwölf Minuten Ausführung
Alles begann am 11. März mit einer Abhebung von 10 ETH von Tornado Cash — durchgeführt gegen 9 Uhr Pjöngjanger Zeit. Dieses Detail ist nicht nebensächlich. Die Mittel finanzierten die Erstellung des CarbonVote Token (CVT), eines vollständig fiktiven Tokens ohne realen Wert. In den folgenden Wochen arbeiteten die Angreifer methodisch: minimale Liquidität auf Raydium, systematisches Wash Trading, Preis künstlich bei etwa 1 US-Dollar gehalten. Drifts Orakel registrierten ihn als legitimen Vermögenswert. Die Falle war gestellt.
Am 23. März wurden vier Durable-Nonce-Konten eröffnet. Zwei gehörten echten Mitgliedern des Drift Security Council. Zwei lagen in der Hand der Angreifer, die sich zuvor die erforderlichen Signaturen beschafft hatten — vermutlich indem sie den Multisig-Unterzeichnern gewöhnliche Transaktionen präsentierten, die keine Möglichkeit hatten zu erkennen, was sie tatsächlich genehmigten. Am 27. März migrierte Drift seinen Security Council auf eine 2/5-Konfiguration ohne Timelock — und eliminierte damit die letzte Kontrollinstanz, die den Angriff noch hätte aufdecken können.
Am 1. April lief alles ab. Einunddreißig sequenzielle Abhebungstransaktionen, rund zwölf Minuten, drei Hauptvaults geleert — JLP Delta Neutral, SOL Super Staking, BTC Super Staking — für insgesamt über 285 Millionen US-Dollar in USDC, SOL, JLP und WBTC. Der TVL des Protokolls fiel von 550 Millionen auf unter 250 Millionen. Der DRIFT-Token brach um über 40 % ein. Elf Protokolle im Solana-Ökosystem erlitten Kollateralschäden.
ZachXBT, Circle und eine brennende Frage
Unmittelbar nach dem Exploit konvertierte der Angreifer den Großteil der gestohlenen Vermögenswerte in USDC und nutzte dann Circles CCTP-Bridge — das Cross-Chain-Protokoll des USDC-Emittenten — um rund 232 Millionen Dollar in über hundert Transaktionen innerhalb von sechs Stunden von Solana nach Ethereum zu verschieben. Während der amerikanischen Geschäftszeiten. Circle unternahm nichts.
ZachXBT formulierte es unmissverständlich auf X und wandte sich direkt an Circle und CEO Jeremy Allaire:
Circle was asleep while many millions of USDC was swapped via CCTP from Solana to Ethereum for hours from the 9 figure Drift hack during US hours.
— ZachXBT (@zachxbt) April 2, 2026
Value was moved and nothing was done yet again.
Comes days after you froze 16+ business hot wallets incompetently which is still… pic.twitter.com/T0Xwg1HIfO
Der Kontrast ist bezeichnend: Am 23. März — genau an dem Tag, an dem die Angreifer ihre Durable-Nonce-Konten erstellten — hatte Circle innerhalb von Minuten die USDC-Guthaben von 16 Unternehmens-Wallets eingefroren, darunter den ckETH Minter Smart Contract der DFINITY Foundation, im Rahmen eines US-amerikanischen Zivilverfahrens. Legitime Wallets, reale Unternehmen, ohne Vorwarnung. ZachXBT hatte dies bereits als das inkompetenteste Einfrieren bezeichnet, das er in fünf Jahren gesehen hatte. Aber zumindest hatte Circle gehandelt.
Diesmal nicht. Der Forscher Specter fügte ein aufschlussreiches Detail hinzu: Der Angreifer ließ die Mittel ein bis drei Stunden ruhen, bevor er sie bewegte, und vermied Tether bewusst. Er wusste, dass Circle nicht eingreifen würde.
Für DACH-Anleger stellt sich eine regulatorische Grundsatzfrage: BaFin und die europäischen Aufsichtsbehörden (ESAs) diskutieren im Rahmen von MiCA bereits, welche Pflichten Stablecoin-Emittenten bei nachgewiesenen Betrugsszenarien haben. Circle ist als USDC-Emittent nach MiCA in der EU zugelassen — die Untätigkeit in diesem Fall dürfte regulatorische Debatten befeuern.
Wer steckt dahinter: die Lazarus Group, schon wieder
Elliptic und TRM Labs veröffentlichten ihre Analysen innerhalb weniger Stunden, und ihre Schlussfolgerungen decken sich. Alle Indikatoren weisen auf die Lazarus Group hin — das nordkoreanische Kollektiv, dem bereits der Diebstahl von 1,4 Milliarden Dollar bei Bybit im Jahr 2025 und der 326-Millionen-Dollar-Exploit auf dem Wormhole Bridge im Jahr 2022 zugeschrieben werden. Tornado Cash in den Anfangsphasen genutzt, Zeitstempel kohärent mit der Pjöngjanger Zeit beim CVT-Deployment, Waschgeschwindigkeit und Multi-Chain-Bridging-Muster — alles passt zusammen.
Laut Elliptic wäre dies der achtzehnte der Lazarus Group zugeschriebene Angriff im Jahr 2026. Über 300 Millionen Dollar in wenigen Monaten. Die US-Regierung geht davon aus, dass diese Mittel das ballistische und nukleare Rüstungsprogramm Nordkoreas finanzieren.
Das Problem war nicht der Code
Zwei Audits hatten Drift für sicher erklärt — Trail of Bits im Jahr 2022, ClawSecure im Februar 2026. Es gab keinen Bug zu finden. Was vorhanden war, ist eine Governance-Architektur, die auf Annahmen aufgebaut wurde, die ein geduldiger Angreifer Stück für Stück demontiert hat: kein Timelock bei administrativen Migrationen, Orakel ohne Mindestliquiditätsschwellen und Multisig-Unterzeichner ohne echte Verfahren zur Überprüfung des Transaktionsinhalts vor der Genehmigung.
Im Jahr 2026 wurden 35 DeFi-Protokolle für insgesamt rund 453 Millionen US-Dollar angegriffen. Der Drift-Hack ist der größte Einzelvorfall des Jahres. Er wird wahrscheinlich nicht der letzte sein.
