Der Überfall auf Drift war ein Lehrbuchbeispiel für penibelste Vorbereitung und Ausführung. Nach Analysen des Sicherheitsforscherteams PIF Research Labs begannen die Angreifer ihre Operationen bereits acht Tage vor dem eigentlichen Hack. Sie errichteten Wallet-Infrastruktur, führten Mikrotransaktionen durch, um die Kompatibilität mit sieben verschiedenen Token-Typen zu testen, und präparierten komplexe, zeitunabhängige Transaktionen mit sogenannten durable nonces auf der Solana-Blockchain.
Fünf Stunden vor dem Raub gelang es den Hackern, einen Admin-Schlüssel von Drift zu kompromittieren. Dies war zwar durch eine Multisig-Authentifizierung geschützt, doch die Plattform akzeptierte Genehmigungen bereits von 2 von 5 Schlüsselhaltenden. Ein neuer Unterzeichner bestätigte die Key-Übertragung innerhalb von einer Sekunde, und da kein Sperrmechanismus vorhanden war, wurde die Änderung sofort ausgeführt.
Mit dem geraubten Admin-Key disabilierten die Angreifer dann in minutiöser Arbeit die Sicherheitssysteme von Drift. Sie erstellten einen gefälschten Kreditmarkt für den wertlosen Token CVT, den sie selbst 20 Tage zuvor geprägt hatten. Durch manipulierte Oracle-Parameter bewerteten sie diesen Token künstlich auf Hunderte Millionen Dollar. Gleichzeitig erhöhten sie die Circuit-Breaker-Schwellenwerte auf astronomische 500 Billionen, um die Sicherheitsbremsen zu deaktivieren, die sonst schnelle Kapitalabzüge blockieren würden.
Die komplette Manipulation – vom gefälschten Markt bis zur Deaktivierung aller Schutzmaßnahmen – erfolgte in einer einzigen On-Chain-Transaktion um 16:05:39 UTC. Nur 25 Sekunden später begann der Diebstahl. Die Angreifer deponierten 500 Millionen CVT-Token (die ihre Fake-Oracle auf über 100 Millionen Dollar bewertete) und leiteten unmittelbar danach massiven Liquiditätsabfluss ein.
Innerhalb von zehn Sekunden waren fünf Tresore geplündert: JLP, USDC, cbBTC, USDS, dSOL und wETH. Das JLP-Vault wurde vollständig leergeräumt. Anschließend begannen die Hacker mit dem Geldwäschen. Sie verteilten die gestohlenen Mittel zunächst auf 27 “Flucht-Wallets” und verwendeten dann automatisierte Bots, um die Gelder auf über 57.000 Adressen zu zerstreuen. Etwa 225 Millionen Dollar wurden auf Ethereum swapped und in drei Wallets geparkt.
Die Laundering-Bots arbeiteten über 34 Stunden hinweg mit rasanter Geschwindigkeit: 590 Transaktionen pro Minute, insgesamt über 860.000 Transaktionen. Dies erschwert die Rückverfolgung erheblich, da die Bewegungen gleichzeitig über mehrere Blockchains und zentralisierte Börsen verteilt waren. Drift koordiniert nun mit Sicherheitsfirmen, Börsen und Behörden, um die gestohlenen Assets nachzuverfolgen und einzufrieren. Der Fall unterstreicht, dass selbst hochentwickelte DeFi-Protokolle anfällig für admin-key-Kompromittierungen bleiben – ein kritisches Sicherheitsproblem, das die ganze Industrie neu überdenken muss.