HackerangriffeCyberkriminalitätCloud-Sicherheit

Drift Protocol: Hacker erbeutet 280 Millionen Dollar durch Übernahme von Admin-Rechten

Drift Protocol: Hacker erbeutet 280 Millionen Dollar durch Übernahme von Admin-Rechten
Zusammenfassung

Das Drift Protocol, eine dezentralisierte Handelsplattform auf der Solana-Blockchain, ist Opfer eines beispiellosen Cyberangriffs geworden. Ein Hacker hat sich administrativen Zugriff auf den Security Council verschafft und damit mindestens 280 Millionen Dollar aus der Plattform abgezogen. Der Angreifer nutzte eine hochsophistizierte Methode: Er manipulierte die multisignature Genehmigungsprozesse, indem er durch durable nonce accounts und vorab signierte Transaktionen mehrere Tage Zeit gewann, um seine Malware unbemerkt zu platzieren, bevor er am 1. April zum Schlag ausholte. Obwohl Drift betont, dass keine Programmierfehler oder Seed Phrases kompromittiert wurden, zeigt der Fall die erheblichen Risiken für dezentralisierte Finanzplattformen. Für deutsche Nutzer und Unternehmen ist dies ein warnendes Beispiel: Wer mit Kryptowährungen handelt oder DeFi-Protokolle nutzt, läuft Gefahr, Opfer ausgefeilter Angriffe auf Governance-Mechanismen zu werden. Der Vorfall unterstreicht die Notwendigkeit robusterer Sicherheitsstandards in der Blockchain-Infrastruktur und sollte Investoren und Regulatoren zum Handeln bewegen, um deutsches Kapital in diesem volatilen Sektor besser zu schützen.

Das Drift Protocol, das bis zu 200.000 Trader bedient und über 55 Milliarden Dollar Handelsvolumen verarbeitete, erlitt am 1. April einen beispiellosen Sicherheitsvorfall. Der Angreifer nutzte eine höchst raffinierte Methode, um Kontrolle über die Security Council zu erlangen – jene administrative Instanz, die über kritische Funktionen des Protokolls entscheidet.

Die Anatomie eines geplanten Angriffs

Die Vorbereitung des Heists erstreckte sich über eine Woche von März 23 bis 30. Der Angreifer richtete zunächst sogenannte “durable nonce accounts” ein – spezielle Konten, die es ermöglichen, Transaktionen zeitlich zu verzögern und später auszuführen. Gleichzeitig gelang es dem Threat Actor, von zwei der fünf Mitglieder des Security Council Multisig-Genehmigungen zu erhalten. Diese 2/5-Schwelle war ausreichend, um vorab unterzeichnete, bösartige Transaktionen zu präparieren.

Am Tag des Angriffs führte der Hacker zunächst eine legitime Transaktion durch – möglicherweise um keine Verdächtigung zu wecken – und aktivierte dann sofort die vorbereiteten schädlichen Transaktionen. Innerhalb von Minuten hatte er die Administratorrechte auf sich übertragen.

Folgen und Umfang des Schadens

Mit erlangter Admin-Kontrolle konnte der Angreifer ein bösartiges Asset in das Protokoll einführen, Abhebungslimits aufheben und schließlich Mittel im Umfang von etwa 280 Millionen Dollar abziehen. Das Blockchain-Tracking-Unternehmen PeckShieldAlert bestätigt diese Summe sogar mit 285 Millionen Dollar.

Drift hat mittlerweile alle Protokoll-Funktionen praktisch eingefroren. Kreditvergabe, Einzahlungen in Vaults und Trading-Mittel sind betroffen. Einzig das DSOL-Token-Programm und Versicherungsfonds bleiben unbeschädigt.

Reaktion und Ermittlungen

Nachdem ungewöhnliche Aktivitäten erkannt wurden, gab Drift eine öffentliche Warnung aus und rief Nutzer auf, keine weiteren Einzahlungen zu tätigen. Das Unternehmen arbeitet nun mit Sicherheitsfirmen, Kryptobörsen und Behörden zusammen, um die gestohlenen Mittel zu verfolgen und einzufrieren.

Wichtig zu betonen: Drift versichert, dass keine Smart-Contract-Schwachstellen (CVEs) ausgenutzt wurden und keine Seed-Phrases kompromittiert sind. Der Angriff war ausschließlich gegen die Governance-Struktur gerichtet – eine erneute Warnung für die DeFi-Community, dass Multisig-Verwaltungen besondere Aufmerksamkeit erfordern.

Ähnliche Artikel