12 Protokolle in 15 Tagen nach dem $280M Drift-Exploit gehackt
Zwölf Krypto-Protokolle und Unternehmen in etwas mehr als zwei Wochen kompromittiert. Das entspricht etwa einem Vorfall alle 28 Stunden im DeFi- und CeFi-Bereich, beginnend einen Tag nach dem 280-Millionen-Dollar-Exploit des Drift Protocol am 1. April. Zum Vergleich: Im ersten Quartal 2026 wurden bereits 168,6 Millionen Dollar von 34 Protokollen gestohlen – dieses April-Fenster allein läuft in einem Tempo, das das gesamte Vorquartal übertreffen würde, wenn es anhält.
Die Vorfälle sind thematisch nicht einheitlich. Einige betreffen Oracle-Manipulation, andere Zugangskontrolle, wieder andere reines Social Engineering gegen Menschen, die Schlüssel halten. Was sie verbindet, ist das Timing und – in mindestens zwei Fällen – die Zuschreibung.
Was geschah
Das auslösende Ereignis war Drift. Wie CoinMarketCap berichtete, entzog der Drift Protocol-Exploit am 1. April 280 Millionen Dollar durch einen langwierigen Social-Engineering-Angriff, wobei Behörden nordkoreanisch affiliierte Akteure verdächtigen. Das ist keine Geschichte über einen Smart-Contract-Fehler. Es ist eine Kompromittierung mit einem Menschen in der Schleife, die in signierten Transaktionen endete.
Was folgte, liest sich wie eine Zielliste für das zweite Quartal. CoW Swap, Hyperbridge, Bybit, Dango, Silo Finance, Aethir, MONA, Zerion, Rhea Finance und Grinex erscheinen alle auf der Liste. Die beiden jüngsten, Rhea und Grinex, machen zusammen rund 21 Millionen Dollar aus.
Rhea Finance gab am Donnerstag bekannt, dass ein Angreifer die Margin-Trading-Funktion durch eine koordinierte Pool-Manipulation gegen den Rhea-Lend-Smart-Contract angegriffen hat. CertiK bezifferte den Verlust auf etwa 7,6 Millionen Dollar. Der Mechanismus laut CertiK: Der Angreifer setzte gefälschte Token-Contracts ein, speiste Liquidität in neue Pools und nutzte diese Pools, um die Oracle- und Validierungsschicht des Protokolls in die Irre zu führen.
Am gleichen Tag suspendierte die russlandnahe Börse Grinex den Betrieb nach einem 13,7-Millionen-Dollar-Einbruch, den sie ohne weitere Zuschreibung „unfreundlichen Staaten" zuschrieb. Früher im Monat: Silo Finance verlor am 3. April 392.000 Dollar durch einen falsch konfigurierten Oracle, Aethir verlor am 9. April 423.000 Dollar durch einen Zugangskontroll-Exploit, und der Bridge-Aggregator Dango verlor am 13. April 410.000 Dollar durch einen Smart-Contract-Fehler. Der Zerion-Vorfall wird zusammen mit Drift DPRK-affiliierten Gruppen zugeschrieben, die KI-gestütztes Social Engineering einsetzen, um Zugangsdaten und Gelder abzuschöpfen.
Die Quelle gibt den genauen Angriffsvektor für CoW Swap, Hyperbridge, Bybit oder MONA in diesem Cluster nicht preis, was bedeutsam ist, da wir noch nicht sagen können, ob es sich um Varianten derselben Social-Engineering-Kampagne oder opportunistische Nachahmer handelt, die den Nachrichtenzyklus nutzen. Die Grenze wird durch die Zuschreibung gesetzt: Mindestens zwei von zwölf sind bestätigt DPRK-verknüpft.
Technische Anatomie
Drei Angriffskategorien dominieren diesen Cluster und sie ordnen sich verschiedenen Teilen des Stacks zu.
Erstens: Oracle- und Pool-Manipulation. Rhea Finance ist das Lehrbuchbeispiel: Gefälschte ERC-Token-Contracts aufsetzen, Liquidität in einen neuen Pool einbringen und diesen Pool dann als Preisreferenz nutzen, der das Oracle oder die Validierungslogik des Protokolls als vertrauenswürdig akzeptiert. Wenn der Lending-Contract einen Spot-Preis ohne Plausibilitätsgrenzen liest oder einen Pool ohne Whitelist als kanonisch akzeptiert, erschafft der Angreifer Kreditkraft aus geringer Liquidität. Der 392.000-Dollar-Verlust von Silo Finance fällt in dieselbe Kategorie – ein falsch konfigurierter Oracle statt eines neuartigen Exploit-Primitives. Die eigene Oracle-Dokumentation von Chainlink warnt seit Jahren vor genau diesem Muster, speziell vor der Verwendung unbegrenzter Spot-AMM-Preise als Sicherheitenreferenzen.
Zweitens: Zugangskontrolle. Der 423.000-Dollar-Verlust von Aethir resultierte aus einem Zugangskontroll-Exploit auf einer dezentralen GPU-Computing-Plattform. Dies ist die langweilige, hochfrequente Kategorie: eine privilegierte Funktion ohne korrekte Modifikatoren, eine Rollenzuweisung, die nie widerrufen wurde, ein Admin-Schlüssel mit mehr Umfang als das Bedrohungsmodell annahm. Es ist auch die Kategorie, die statische Analysatoren zuverlässig erkennen, weshalb jeder dieser Fälle ein Prozessversagen ist, kein Wissensversagen.
Drittens, und das ist das, was CTOs nachts wachhalten sollte: KI-gestütztes Social Engineering. Drift und Zerion werden beide DPRK-affiliierten Gruppen zugeschrieben, die KI-Tools einsetzen, um Zugangsdaten und Gelder zu extrahieren. Das ist qualitativ anders als ein Solidity-Fehler. Die Angriffsfläche ist Ihre Engineering-Einstellungspipeline, Ihr Slack, Ihr Telegram, Ihre Zoom-Calls mit gefälschten Kandidaten oder gefälschten Prüfern. Stimmklonen und LLM-gestützte konversationelle Beharrlichkeit verwandeln eine zweiwöchige Phishing-Operation in eine zweitägige. Keine Menge formaler Verifikation auf der Contract-Ebene schützt gegen einen Unterzeichner, der durch Social Engineering dazu gebracht wurde, ein bösartiges Upgrade zu genehmigen oder Gelder an ein vom Angreifer kontrolliertes Multisig zu verschieben.
Meine Einschätzung: Das Fenster von Drift bis Rhea ist kein zufälliger Cluster. Es ist das, was passiert, wenn eine gut ausgestattete Gruppe dasselbe Playbook gegen eine Zielliste parallel ausführt, wobei die Smart-Contract-Exploits (Rhea, Silo, Aethir, Dango) als Hintergrundrauschen für die werthaltigeren Kompromittierungen auf der menschlichen Ebene dienen.
Wer betroffen ist
Lending- und Margin-Protokolle mit erlaubnisfreiem Listing stehen an der Spitze der Risikoliste. Rheas Fehlermodus – gefälschter Token-Contract in neuen Pool in Oracle-Abfrage – lässt sich auf jedes Lending-Protokoll verallgemeinern, das Benutzern erlaubt, neue Märkte zu eröffnen, oder das einen Pool mit geringer Liquidität als gültige Preisquelle behandelt. Wenn Ihr Protokoll eine „beliebigen Token listen"-Oberfläche und einen gemeinsam genutzten Oracle-Contract hat, sollten Sie davon ausgehen, dass Sie in diesem Monat auf der Zielliste von jemandem stehen.
Bridges und Cross-Chain-Aggregatoren folgen an zweiter Stelle. Der 410.000-Dollar-Verlust von Dango ist in Dollar gering, aber Bridges konzentrieren Wert und Vertrauensannahmen, und das Erscheinen von Hyperbridge auf der Clusterliste deutet darauf hin, dass die Kategorie aktiv gescannt wird. Der 90-Tage-Ausblick für Bridge-Teams: Erwarten Sie eine Neubepreisung der Versicherungsprämien, erwarten Sie, dass institutionelle Gegenparteien frische Audits fordern, und rechnen Sie mit mindestens einem weiteren Vorfall vor Quartalsende.
Zentralisierte Börsen sind auf einer anderen Achse exponiert. Bybit und Grinex erscheinen beide auf der Liste, und Grinex' 13,7-Millionen-Dollar-Verlust mit seiner „unfreundliche Staaten"-Rahmung zeigt, dass geopolitische Zuschreibung nun Teil der Vorfallsreaktionsvorlage ist, nicht eine Fußnote. Börsen, die Hot-Wallet-Guthaben für Market Making halten, sind die wertvollsten Einzelziele im Ökosystem, und DPRK-Gruppen haben diese historisch priorisiert.
Infrastrukturanbieter wie Aethir befinden sich in einer unangenehmen Mitte. Der Dollarverlust ist bescheiden, aber Zugangskontroll-Exploits auf einer Computing-Plattform sind ein Supply-Chain-Risiko für jede darauf laufende Arbeitslast. Wenn eine GPU-Cloud für 423.000 Dollar kompromittiert werden kann, stellt sich nicht die Frage nach dem Verlust, sondern was ein Angreifer mit Root-Zugriff auf Inferenz-Infrastruktur als Nächstes tun könnte. Die Quelle gibt nicht preis, ob Kunden-Workloads betroffen waren – das ist die entscheidende unbekannte Größe für alle, die auf dieser Schicht aufbauen.
Überprüfbare Prognose: Wenn sich dieses Muster fortsetzt, sollten wir bis Ende Q2 2026 mindestens drei weitere DPRK-zugeschriebene Vorfälle gegen DeFi- oder CeFi-Ziele sehen, und der durchschnittliche Verlust pro Vorfall in dieser Teilmenge sollte 50 Millionen Dollar übersteigen.
Playbook für Krypto und DeFi
Diese Woche, nicht nächstes Quartal, sollten Engineering- und Security-Verantwortliche vier Dinge tun.
Erstens: Prüfen Sie Ihre Oracle-Konfiguration für jeden Markt, bei dem ein neuer, liquiditätsschwacher Pool einen Preis-Feed beeinflussen kann. Wenn Ihr Lending-Contract einen Spot-Preis von einem AMM ohne TWAP-Fenster, Liquiditätsschwelle oder Listing-Whitelist liest, ist das der Rhea-Fehlermodus und er ist heute ausnutzbar. Begrenzen Sie die Abfrage durch Plausibilitätsprüfungen, auch wenn Sie dem vorgelagerten Feed vertrauen.
Zweitens: Behandeln Sie Ihre Engineering-Einstellungs- und Vendor-Onboarding-Pipeline als Angriffsfläche. Das DPRK-Playbook umfasst nun KI-gestützte Personas, die mehrtägige Interview-Schleifen durchhalten. Verlangen Sie persönliche oder verifizierte Video-Finalrunden für alle, die Signing-Keys oder Produktionsinfrastruktur berühren werden. Betrachten Sie jede unaufgeforderte „Prüfer"- oder „Sicherheitsforscher"-DM als feindlich, bis das Gegenteil bewiesen ist.
Drittens: Reduzieren Sie den Schadensradius eines einzelnen Unterzeichners. Wenn Ihre Multisig-Schwellenwerte seit Ihrer letzten Finanzierungsrunde nicht überprüft wurden, sind sie veraltet. Die Lektion aus Drift ist, dass Social Engineering keine Kryptografie besiegt, sondern Governance. Zeitverriegelte Upgrades, obligatorische Überprüfungsfenster für privilegierte Calls und die Trennung von Key-Verwahrung und Key-Nutzung reduzieren den Wert eines einzelnen kompromittierten Menschen.
Viertens: Führen Sie ein Zugangskontroll-Audit durch. Aethirs Exploit-Kategorie ist am günstigsten zu verhindern und wird am häufigsten ignoriert. Jede privilegierte Funktion, jede Rolle, jeder Admin-Schlüssel. Slither, statische Analysatoren und ein frischer Blick finden die meisten davon an einem Tag.
Wichtigste Erkenntnisse
- Zwölf Protokolle in etwa 15 Tagen nach dem $280M Drift-Exploit kompromittiert – ein Tempo, das das Q1-2026-Gesamtergebnis von 168,6 Millionen Dollar über 34 Protokolle übersteigen würde, wenn es anhält.
- Rhea Finance ($7,6M) und Grinex ($13,7M) verursachten rund $21M der jüngsten Verluste; Rhea wird auf eine Fake-Token-Oracle-Manipulation zurückgeführt und Grinex vage „unfreundlichen Staaten" zugeschrieben.
- Drift und Zerion werden beide DPRK-affiliierten Gruppen zugeschrieben, die KI-gestütztes Social Engineering einsetzen, was die primäre Angriffsfläche von Solidity auf Menschen mit Schlüsseln verlagert.
- Die kleineren Vorfälle (Dango $410K, Silo $392K, Aethir $423K) ordnen sich gut verstandenen Kategorien zu: Smart-Contract-Fehler, Oracle-Fehlkonfiguration, Zugangskontrolle. Alles Prozessversagen, keine neuartigen Primitives.
- Unbeantwortete Frage mit überprüfbarer Grenze: Wir kennen den Angriffsvektor für CoW Swap, Hyperbridge, Bybit oder MONA in diesem Cluster noch nicht. Wenn mehr als die Hälfte davon als DPRK-verknüpftes Social Engineering herausstellt, handelt es sich um eine koordinierte Kampagne, nicht um einen Cluster.
Häufig gestellte Fragen
F: Was verursachte den Rhea Finance-Exploit?
Laut CertiK führte der Angreifer eine koordinierte Pool-Manipulation gegen den Rhea-Lend-Smart-Contract durch, indem er gefälschte Token-Contracts erstellte und Liquidität in neue Pools einspeiste. Diese gefälschte Liquidität führte die Oracle- und Validierungsschicht des Protokolls in die Irre und ermöglichte es dem Angreifer, über die Margin-Trading-Funktion ungefähr 7,6 Millionen Dollar zu extrahieren.
F: Stehen alle zwölf jüngsten Krypto-Exploits in Verbindung mit Nordkorea?
Nein. Nur Drift Protocol und Zerion werden ausdrücklich DPRK-affiliierten Gruppen zugeschrieben, die KI-gestütztes Social Engineering einsetzen. Die Angriffsvektoren der anderen Vorfälle im Cluster variieren: Silo Finance war ein falsch konfigurierter Oracle, Aethir betraf Zugangskontrolle, Dango war ein Smart-Contract-Fehler, und Grinex wurde von der Börse selbst ohne Einzelheiten „unfreundlichen Staaten" zugeschrieben.
F: Wie viel wurde 2026 bisher von DeFi-Protokollen gestohlen?
Böswillige Akteure stahlen im ersten Quartal 2026 mehr als 168,6 Millionen Dollar von 34 DeFi-Protokollen. Die April-Welle nach dem 280-Millionen-Dollar-Drift-Exploit erhöht diese Zahl erheblich, wobei allein Rhea Finance und Grinex rund 21 Millionen Dollar der jüngsten Verluste ausmachen.
Crossmint erhält PSD2-Lizenz und kombiniert sie mit MiCA für EU-Stablecoins
Crossmint verfügt nun über MiCA- und PSD2-Zulassung in Spanien und reduziert den Custody-plus-Payments-Vendor-Stack auf einen einzigen regulierten Vertragspartner für EU-Fintechs.
Der GENIUS Act und DEX Aggregatoren: Ein KYC-Problem, das niemand gelöst hat
Der Quellartikel war nicht zugänglich, daher ist dies eine strukturierte Analyse: Was bedeuten Stablecoin-KYC-Pflichten des GENIUS Act für DEX Aggregatoren und DeFi-Entwickler?
Binance zieht sich aus Europa zurück, nachdem Regulierer Geldwäscherisiken festgestellt hat
Binance sperrt europäische Nutzer, nachdem ein Regulierer Bedenken wegen Finanzkriminalität geäußert hat. Was das für Crypto-Engineering-Teams, Custody und Compliance-Stacks bedeutet.




