Es handelt sich um den spektakulärsten DeFi-Hack des Jahres 2026. Das auf Solana basierende Drift Protocol verzeichnet nach einer Hackerattacke einen Verlust von rund 285 Millionen US-Dollar. Nach bisherigen Erkenntnissen wurde ein Admin-Key kompromittiert und darüber Mittel aus dem Protokoll abgezogen. Der Angreifer nutzte den Schlüssel, um Abhebungslimits zu manipulieren, einen wertlosen Token als Sicherheit zu hinterlegen und anschließend echte Assets aus den Vaults des Protokolls zu entnehmen. Der Vorfall ereignete sich gestern Abend, und die Welt schaute zu, während der oder die Hacker Zug um Zug Millionenbeträge von der Solana-Blockchain in Richtung Ethereum verschoben.
Kritik hagelt es nun nicht nur für Drift, denn für den Transfer wurde überwiegend der Stablecoin USDC verwendet. Das Unternehmen Circle kontrolliert den Smart Contract des Stablecoins und verfügt über eine Blacklist-Funktion. Der Stablecoin-Anbieter hätte daher jederzeit eingreifen und die Mittel einfrieren können, so der Vorwurf. Geäußert wird er von einer der prominentesten Stimmen der Szene: Der Blockchain-Analyst „ZachXBT“ machte seinem Unmut auf X.com Luft.
Der Vorfall ereignete sich zu einer Uhrzeit, zu der die meisten Angestellten des US-Unternehmens verfügbar gewesen sein dürften. Laut ZachXBT wurden in mehr als 100 Transaktionen über 230 Millionen USDC bewegt, und Circle unternahm nichts.
Der Transfer erfolgte über das Cross-Chain Transfer Protocol (CCTP). Dabei handelt es sich um eine von Circle selbst entwickelte und betriebene Infrastruktur, die es ermöglicht, USDC nativ zwischen verschiedenen Blockchains zu bewegen. Technisch funktioniert das so: USDC wird auf der Quellchain verbrannt und auf der Zielchain neu ausgegeben. Da Circle diesen Prozess kontrolliert, hätte das Unternehmen die Transaktionen jederzeit unterbinden können. Stattdessen flossen die gestohlenen Mittel über genau diesen Mechanismus sechs Stunden lang ungehindert von Solana auf die Ethereum-Blockchain.
Nun steht zur Debatte, ob Circle nicht eingreifen konnte oder nicht eingreifen wollte. Bislang hat man sich öffentlich nicht zu den Vorwürfen geäußert.
On-Chain-Analyse zeigt: Das Geld ist weg
Da sich alle Transaktionen lückenlos auf der Blockchain nachverfolgen lassen, kann man mit Gewissheit sagen, dass die Gelder vollständig unter der Kontrolle des Angreifers sind. Den Löwenanteil der Krypto-Assets bewegte er auf die Ethereum-Blockchain und kaufte dort Ether (ETH), den nativen Ethereum-Token. Aktuell halten die Adressen des Angreifers 130.261 ETH, was umgerechnet 267 Millionen US-Dollar entspricht.
Anders als USDC ist Ether zensurresistent und kann daher nicht eingefroren werden. In früheren Fällen gingen Täter dazu über, größere Beträge aufzuteilen und ihre Spuren mit dem Ethereum-Mixer Tornado Cash zu verwischen. Dies scheint bisher nicht der Fall zu sein, was Spekulationen anheizt, welchen Schritt die Hacker als nächstes unternehmen werden.
Zwei existenzielle Fragen für die Branche
Der Schaden ist so hoch, dass der Vorfall mühelos in die Top 5 der größten DeFi-Hacks eingeht. Damit zeichnet sich bereits die erste Frage ab: Darf man von DeFi sprechen, wenn ein Protokoll in Wirklichkeit CeFi ist?
Typischerweise verfügen dezentrale Protokolle nicht über einen Admin-Key, der solch weitreichende Eingriffe überhaupt ermöglichen würde. Für Teams und Entwickler geht es künftig nicht nur darum, ihren Code auditieren zu lassen, sondern auch klarer zu kommunizieren, wer die Kontrolle über die Systeme ausübt.
Der zweite Punkt betrifft alle Akteure: Warum gibt es keinen Branchenstandard für Krisenmanagement, der ein koordiniertes Vorgehen ermöglicht?
Nicht nur Circle saß untätig am Steuer, während eine enorme Summe in handlichen Tranchen gestohlen wurde. Ein verbindliches Framework wäre das wichtigste Instrument, um in solchen Fällen besser handeln zu können. Dazu braucht es keinen Gesetzgeber, sondern tatkräftiges Handeln der gesamten Branche.
Andernfalls platzt der Traum von dezentralen Finanzen. Kein Anleger wird eine Rendite anstreben, wenn Unternehmen, die gut an Gebühren verdienen, offenbar keine Verantwortung für die Sicherheit übernehmen.
