Drift-Protocol-Hack: 285 Millionen, Nordkorea und Circle

Q: Was sind durable nonces auf Solana und warum waren sie das Einfallstor?

Durable Nonces sind ein Solana-Feature, das es erlaubt, Transaktionen vorab kryptografisch zu signieren und sie zu einem beliebigen späteren Zeitpunkt — Tage oder Wochen nach der Signatur — ohne erneute Genehmigung einzureichen. Die Angreifer brachten Security-Council-Mitglieder dazu, scheinbar harmlose Transaktionen blind zu signieren, ohne zu realisieren, dass es sich um vorab konstruierte Admin-Key-Übertragungen handelte, die erst Wochen später ausgeführt würden.

Solana, Mittwoch, 1. April 2026, 16:05:18 UTC — eine Sekunde später ist die Kontrolle weg. Mit zwei vorab signierten Transaktionen übernimmt eine nordkoreanische Operation den Drift Admin-Key. In zwölf Minuten verschwinden 285 Millionen Dollar. Sechs Monate Social Engineering, ein Fake-Token namens CVT, und das größte DeFi-Protokoll auf Solana ist in einer Stunde Geschichte. Was folgt, ist nicht nur die größte Krypto-Entwendung des Jahres auf Solana — sondern auch eine Klage gegen den USDC-Issuer Circle, die erstmals den Blick auf die Verantwortung zentraler Stablecoins richtet.

Was ist beim Drift Protocol Hack passiert — und wie groß ist der Schaden?

Der Drift Protocol Hack vom 1. April 2026 ist das erste dokumentierte Ereignis, bei dem nordkoreanische Akteure ein eigenständiges Perpetual-Futures-Protokoll auf Solana vollständig leerten — nicht durch einen Smart-Contract-Exploit, sondern durch die Übernahme administrativer Schlüsselgewalt. Drift Protocol war zu diesem Zeitpunkt das größte dezentrale Derivate-Protokoll auf Solana mit einem Total Value Locked (TVL) von rund 550 Millionen US-Dollar. Nach dem Angriff lag der TVL bei unter 250 Millionen Dollar — ein Rückgang von mehr als 50 Prozent innerhalb von zwei Stunden.

Der Gesamtschaden beläuft sich laut den Erstanalysen von Elliptic vom 2. April 2026 auf circa 285 bis 286 Millionen US-Dollar, verteilt auf mindestens 18 Token-Typen. Dabei stachen folgende Positionen hervor: 159,3 Millionen Dollar in JLP, 71,4 Millionen Dollar in USDC, 11,3 Millionen Dollar in cbBTC, 5,6 Millionen Dollar in USDT sowie kleinere Positionen in WETH, dSOL, WBTC, FARTCOIN und JitoSOL. Der Drift-Token verlor mehr als 40 Prozent seines Werts, und mindestens zwanzig weitere Solana-DeFi-Protokolle verzeichneten indirekte Liquiditätsverluste durch die TVL-Kontraktion.

Für Sie als Anleger ist die Einordnung entscheidend: Es handelt sich nicht um einen Hack im klassischen technischen Sinne — kein Bug wurde ausgenutzt, kein Smart Contract war kompromittiert. Die Angreifer erlangten legitime kryptografische Kontrolle über den Admin-Key des Protokolls, nachdem sie sich monatelang als vertrauenswürdige Handelspartner positioniert hatten. Das unterscheidet diesen Vorfall grundlegend von protokollbedingten Verlusten und schafft die Grundlage für eine Haftungsdiskussion, die Sie als Geschädigter kennen sollten.

📣 Telegram-Kanal der Fachanwältin

Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.

Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.

▶ Jetzt @kryptobetrug_anwaeltin auf Telegram folgen

Wie lief der Drift Protocol Hack technisch ab — sechs Monate Vorbereitung, zwei Sekunden Ausführung

Die operative Timeline des Angriffs erstreckt sich über mehr als sechs Monate und verdeutlicht, dass der Drift Protocol Hack keine spontane Opportunität war, sondern das Ergebnis eines durchgeplanten nachrichtendienstlichen Vorgehens. Die Angreifer stellten sich Drift-Mitarbeitern auf Krypto-Konferenzen als Vertreter einer quantitativen Handelsgesellschaft vor, unterhielten über Monate regelmäßige Gespräche via Telegram und deponierten über eine Million Dollar als Vertrauensbeweis in Protokoll-Vaults — bis zu dem Moment, an dem die eigentliche Infiltration begann.

Zwischen dem 10. und 11. März 2026 hoben die Täter zunächst Ethereum aus Tornado Cash ab — ein Schritt, der der Finanzierung nachgelagerter Operationskosten diente. Am 12. März 2026 erstellten sie auf Solana den Fake-Token CVT (CarbonVote Token), dem sie sich selbst rund 80 Prozent des Gesamtsupplys von 750 Millionen Einheiten sicherten. Über einen Raydium-Pool mit nur rund 500 Dollar realer Liquidität wurde ein synthetischer Preis von circa einem Dollar per CVT-Einheit aufgebaut — gestützt durch einen manipulierten Preis-Oracle. Das Ziel: Diesen Token als legitimes Collateral in das Drift-Protokoll einzuschmuggeln.

Zwischen dem 23. und 30. März 2026 erstellten die Angreifer auf Solana mehrere Durable Nonce Accounts — ein Feature, das vorab signierte Transaktionen Tage oder Wochen später ausführbar macht, ohne neue Signatur. Mindestens zwei Security-Council-Mitglieder unterzeichneten diese Transaktionen offensichtlich ohne ausreichende Prüfung ihres genauen Inhalts.

Am 26. März 2026 migrierte Drift sein Admin-Multisig auf eine neue 2-von-5-Konfiguration ohne Timelock-Verzögerung. Die Angreifer nutzten diese Migration, um erneut Signaturen zu erlangen. Am 1. April 2026 um 16:05:18 UTC wurde die erste vorab signierte Transaktion auf Wallet H7PiGqqUaanBovwKgEtreJbKmQe6dbq6VTrw6guy7ZgL übertragen. Eine Sekunde später — 16:05:19 UTC — folgte die zweite: Der vollständige Admin-Zugriff lag nun in den Händen der Angreifer.

In den folgenden zwölf Minuten führten die Täter 31 Abhebungstransaktionen durch. Die vollständige Drainage dauerte bis 18:31 UTC — etwa zwei Stunden und zwanzig Minuten. Das gesamte Vorgehen, vom ersten Tornado-Cash-Schritt bis zur letzten Abhebung, illustriert eine Angriffspräzision, wie sie die Chainalysis-Analyse vom 9. April 2026 als charakteristisch für staatlich gesteuerte nordkoreanische Operationen beschreibt.

DPRK-Attribution: Welche nordkoreanische Gruppe steckt hinter dem Drift Protocol Hack?

Die Zuschreibung des Drift Protocol Hacks an nordkoreanische Staatsakteure ist laut TRM Labs eindeutig, aber in einem Punkt präzisierungsbedürftig: Es handelt sich nicht um die bekannte TraderTraitor-Gruppe, die für den KelpDAO-Hack verantwortlich gemacht wird und dem TVL-Einbruch und der DeFi-Kontagion im Frühjahr 2026 zugeordnet wurde. Beim Drift-Angriff handelt es sich um eine separate DPRK-Subgruppe — staatlich gesteuert, mit einem Operationsstil, der stärker auf langfristiges Social Engineering und infrastrukturelle Vorabpositionierung setzt als auf kurzfristige technische Exploits.

Laut TRM Labs hat Nordkorea im Jahr 2026 mit nur zwei Angriffen 76 Prozent des gesamten gestohlenen Krypto-Werts des Jahres erbeutet. Die Angreifer handelten nach einem Muster, das von US-Geheimdiensten als „Operational Social Engineering at Scale“ beschrieben wird: professionelle Unternehmensidentitäten, mehrmonatige Korrespondenzpflege, strategische Kapitaleinlagen — und schließlich die gezielte Ausnutzung durch vorab signierte Transaktionen.

Für die rechtliche Einordnung in Deutschland ist diese Attribution bedeutsam: Wenn ein Drittstaat als Verursacher einer Straftat im Sinne von §§ 263, 263a StGB identifiziert werden kann, berührt das die Frage der Vermögensabschöpfung nach § 73 StGB in Verbindung mit § 111e StPO. Bei einem staatlichen Täter ist der klassische Weg der Strafverfolgung über Rechtshilfeabkommen verbaut — Nordkorea kooperiert weder mit Europol noch mit Eurojust. Das Justizministerium kann jedoch über multilaterale Abkommen (MLA) Anfragen stellen, und US-OFAC-Sanktionen gegen DPRK-assoziierte Wallets erzeugen faktische Sperren auf regulierten Exchanges weltweit.

Geldwäsche über CCTP: Wie wurden 230 Millionen Dollar USDC über Ethereum bewegt?

Der Geldwäscheweg nach dem Drift Protocol Hack ist forensisch außergewöhnlich gut dokumentiert — und das ist der eigentliche Grund, warum die Class Action gegen Circle juristische Substanz hat. Nach der Drainage aller Assets auf Solana konvertierten die Täter sämtliche Positionen über Jupiter, den dominanten Solana-DEX-Aggregator, in USDC. Dieser Schritt war nicht zufällig: USDC ist als technisch zentralisierter Stablecoin über das Cross-Chain Transfer Protocol (CCTP) von Circle direkt und ohne dezentrale Bridge-Risiken auf Ethereum übertragbar.

Über 230 Millionen Dollar USDC wurden in mehr als 100 Transaktionen innerhalb von rund acht Stunden — überwiegend während der US-Geschäftszeit — über CCTP auf Ethereum transferiert. Die erste Ankunft auf der Ethereum-Seite erfolgte laut On-Chain-Daten rund 23 Minuten nach der Admin-Key-Übernahme. Auf Ethereum wurden die Mittel über dezentrale Exchanges zu ETH konvertiert und auf frische Wallets verteilt. Seit Abschluss dieser Phase liegen die Gelder dormant — TRM Labs geht davon aus, dass die Liquidation langsam über Monate oder Jahre erfolgen wird, um Marktbewegungen zu vermeiden.

Was aus forensischer Perspektive besonders relevant ist: Circle hatte sowohl die technische als auch die vertragliche Befugnis, USDC-Bestände einzufrieren — und hatte dies nachweislich nur neun Tage vor dem Drift-Hack in einem nicht verwandten Fall getan, als Circle 16 Wallets einfrierte. Dass Circle während eines achtstündigen Transferfensters von über 230 Millionen Dollar nicht eingriff, obwohl On-Chain-Signale klar auf einen Exploit hindeuteten, ist der Kern des Klagevorwurfs von Gibbs Mura. Die vollständige Rückverfolgbarkeit der Geldflüsse ist jedoch auch eine Chance: Professionelles Blockchain-Tracing und forensische Analyse kann die gesamte Transferkette von Solana über CCTP bis zu den Ethereum-Empfängeradressen lückenlos dokumentieren.

Die Class Action gegen Circle: Können DACH-Anleger beitreten?

Am 14. April 2026 reichte die US-Kanzlei Gibbs Mura beim Federal Court in Massachusetts eine Sammelklage gegen Circle Internet Financial ein. Der Vorwurf in der Drift Protocol Hack Lawsuit lautet im Kern: Circle verfügte über die technische und vertragliche Befugnis, die USDC-Transfers zu stoppen oder einzufrieren — und hat diese Befugnis trotz eindeutiger On-Chain-Warnsignale nicht genutzt. Der Präzedenzfall ist dokumentiert: Nur neun Tage vor dem Drift-Hack hatte Circle in einem separaten Fall 16 USDC-Wallets eingefroren. Das belegt, dass die organisatorischen und technischen Kapazitäten vorhanden waren. Warum sie beim Drift-Hack nicht genutzt wurden, ist der Kern der Klagebegründung.

Für Sie als DACH-Anleger ist die geografische Reichweite dieser Klage relevant: Sie enthält keine explizite geografische Beschränkung auf US-amerikanische Geschädigte. Anleger aus Deutschland, Österreich und der Schweiz können nach US-Prozessrecht grundsätzlich als Teil der Klägerklasse aufgenommen werden, wenn Sie nachweisen können, dass Sie zum relevanten Zeitpunkt Drift-Nutzer mit dokumentiertem Schaden waren. Die Klage wird auf Erfolgsbasis geführt — für Sie als Klagemitglied fallen keine Vorschusskosten an. Ein erstes Beratungsgespräch ist vorgebührenfrei. Der Beitritt zur Klasse erfordert frühzeitigen Kontakt zur Kanzlei Gibbs Mura und eine Dokumentation Ihres Schadens.

Gleichzeitig sollten Sie als deutschsprachiger Anleger den parallelen Weg über das europäische Rechtssystem nicht außer Acht lassen. Das am 5. März 2026 eingereichte Schlussantrag von Generalanwalt Rantos in der Rechtssache EuGH C-70/25 zur Bankhaftung bei elektronischen Zahlungsdienstleistungen — analysiert in unserem Beitrag zum EuGH C-70/25 Schlussantrag Rantos — könnte perspektivisch auch Haftungsfragen bei Stablecoin-Emittenten beeinflussen, die unter MiCAR reguliert sind.

Welche rechtlichen Ansprüche bestehen für Geschädigte des Drift Protocol Hacks im deutschen Recht?

Das deutsche Recht bietet Drift-Geschädigten mehrere parallele Anspruchsstrukturen, die von einem spezialisierten Anwalt im Einzelfall geprüft werden sollten. Strafrechtlich sind die Tatbestandsmerkmale des § 263 StGB (Betrug durch Täuschung über Tatsachen zur Schadenszufügung) sowie des § 263a StGB (Computerbetrug durch unbefugten Datenzugriff) nach dem Sachverhalt erfüllt. Das Social Engineering gegenüber Drift-Mitarbeitern, die Erstellung des Fake-Tokens CVT mit manipuliertem Oracle-Preis sowie die Übernahme des Admin-Keys durch vorab signierte Transaktionen begründen ein klassisches Betrugsbild mit Computerbezug. § 261 StGB (Geldwäsche) ist durch die CCTP-Transfers über 100 Transaktionen hinweg auf Ethereum klar erfüllt.

Zivilrechtlich gegenüber identifizierbaren Akteuren kommen § 823 Abs. 2 BGB in Verbindung mit § 263 StGB als Schutzgesetz sowie § 826 BGB (vorsätzliche sittenwidrige Schädigung) in Betracht. Der bereicherungsrechtliche Rückforderungsanspruch nach § 812 BGB greift dort, wo Vermögen ohne rechtlichen Grund abgeflossen ist. Insbesondere die Frage der Haftung von Circle Internet Financial — als zentralisierter USDC-Emittent, der trotz nachgewiesener Handlungsmöglichkeit nicht eingriff — könnte nach § 826 BGB relevant werden, wenn sich belegen lässt, dass Circle positive Kenntnis des laufenden Angriffs hatte und trotzdem untätig blieb.

Die Bankhaftung bei Kryptobetrug ist ein weiteres zu prüfendes Feld: Wenn Sie als Drift-Nutzer Ihre Einlagen über ein deutsches Kreditinstitut oder über eine in Deutschland zugelassene Krypto-Plattform in das Protokoll eingezahlt haben, können Sorgfaltspflichtverletzungen der Intermediäre nach §§ 280, 286 BGB in Verbindung mit den einschlägigen Compliance-Pflichten nach KWG §§ 1, 32, 44 und MiCAR relevant werden. Die sogenannte Hortmann-Linie im deutschen Bankrecht — die funktional wirksame Risikoansprache gegenüber dem Kunden bei erkennbar risikobehafteten Transaktionen — liefert dabei einen Prüfrahmen für die Frage, ob der Intermediär seine Warnpflicht erfüllt hat.

Auf Ebene der Vermögensabschöpfung greift § 73 StGB in Verbindung mit § 111e StPO für die vorläufige Sicherstellung von Vermögenswerten — sofern die Staatsanwaltschaft nach § 152 StPO Ermittlungen aufnimmt und nach § 170 StPO ein hinreichender Tatverdacht besteht. Bei einem nordkoreanischen Staatstäter ist der praktische Weg der Vollstreckung schwierig, aber nicht unmöglich: OFAC-Sanktionen gegen DPRK-assoziierte Wallets wirken faktisch als globale Sperren auf regulierten Exchanges. Das Travers Smith-Papier zu DeFi-Exploits und On-Chain-Interventionen analysiert die rechtlichen Instrumente zur Asset Recovery in DeFi-Kontexten und zeigt, dass internationale Koordination — trotz staatlicher Täterschaft — Erfolge erzielen kann.

Sie haben durch den Drift Protocol Hack oder einen ähnlichen DeFi-Exploit Kryptowerte verloren? Schildern Sie uns Ihren Fall — die Fachanwältin für Bank- und Kapitalmarktrecht prüft Ihre Ansprüche. Schreiben Sie an kryptoschaden@rexus-recht.de mit kurzer Sachverhaltsschilderung, Datum und Höhe des Schadens.

Tracing-Strategie: Was passiert, wenn 230 Millionen Dollar USDC dormant liegen?

Die forensische Ausgangslage beim Drift Protocol Hack ist trotz der Komplexität der Geldflüsse ungewöhnlich günstig. Anders als bei Mixer-zentrischen Routen hinterlässt der CCTP-Weg von Solana nach Ethereum eine vollständig transparente On-Chain-Spur. Jede der über 100 Transfertransaktionen ist mit Zeitstempel, Betrag und Wallet-Adressen unveränderlich gespeichert. CCTP ist ein von Circle betriebenes Bridge-Protokoll — Circle ist auf Anfrage technisch in der Lage, die gesamte Transferhistorie zu reproduzieren und zu attestieren.

Für Sie als Geschädigter ergibt sich daraus folgende Tracing-Strategie: Zunächst sollten Sie alle Ihre Drift-Transaktionen mit Zeitstempel, Wallet-Adresse und Token-Betrag dokumentieren. Diese Daten sind über Solana-Explorer wie Solscan öffentlich zugänglich. Eine spezialisierte Blockchain-Forensik-Einheit kann dann die Transferkette von Ihrer ursprünglichen Einlage über die Drainage bis zu den Ethereum-Zieladressen rekonstruieren — und prüfen, ob einzelne Beträge auf Exchanges gelandet sind, die unter Geldwäschevorschriften zur Kooperation verpflichtet sind.

Das Dormant-Stadium der gestohlenen Gelder ist kein Hindernis — im Gegenteil: Jeder weitere Tag ohne Bewegung verlängert das Zeitfenster für behördliche Sicherungsmaßnahmen. Sobald die Angreifer Liquidität abziehen, aktivieren sie Wallets — und damit die Möglichkeit eines Arrests. KI-gestützte Tracing-Werkzeuge, wie im Überblick zu KI-Kryptobetrug und Deepfake-Phishing 2026 beschrieben, können bereits heute Netzwerke dormanter Adressen mit bekannten DPRK-Operationen korrelieren.

Die Galaxy Research-Analyse vom 7. Mai 2026 zum KelpDAO LayerZero Exploit zeigt vergleichbare Tracing-Strukturen: Selbst wenn Gelder über viele Monate dormant bleiben, entstehen bei Liquidationsbewegungen Muster, die forensisch auswertbar und für Strafverfolgungsbehörden handlungsrelevant sind. Der Schlüssel ist die frühzeitige Sicherung aller eigenen Transaktionsdaten und die Einleitung eines strukturierten Forensik-Prozesses.

Was sollten Drift-Geschädigte aus Deutschland, Österreich und der Schweiz jetzt konkret tun?

Wenn Sie durch den Drift Protocol Hack Verluste erlitten haben, gilt: Jede Stunde zählt. Der erste Schritt ist die Sicherung aller Onchain-Daten — Wallet-Adresse, Transaction-Hashes für Einzahlungen in Drift-Vaults, Token-Beträge und Zeitstempel.

Der zweite Schritt ist die Prüfung, ob Sie Ihre Drift-Einlagen über eine regulierte Plattform oder ein deutsches Kreditinstitut finanziert haben — wenn ja, ergibt sich ein potenzieller Haftungsweg gegenüber dem Intermediär. Wenden Sie sich schriftlich an Ihre Bank unter Verweis auf § 675u BGB und § 280 BGB. Parallel sollten Sie Strafanzeige bei der zuständigen Staatsanwaltschaft erstatten und dabei konkrete Wallet-Adressen, Transaction-Hashes und den dokumentierten Schaden nennen — das eröffnet den Weg zu Sicherungsmaßnahmen nach § 111e StPO.

Als dritter Schritt empfiehlt sich die Prüfung des Beitritts zur US-Class-Action gegen Circle. DACH-Anleger sollten frühzeitig Kontakt zur Kanzlei Gibbs Mura aufnehmen und den Nachweis ihrer Drift-Nutzerbeteiligung dokumentieren. Der Beitritt ist auf Erfolgsbasis strukturiert. Das koordinierte Vorgehen nach dem Europol-Muster bei großen Krypto-Betrugszerschlagungen zeigt, dass internationale Parallelstrategien — US-Zivilklage, deutsches Strafverfahren und europäische Behördenzusammenarbeit — sich gegenseitig verstärken können.

Eine Mandatierung scheidet aus, wenn der Sachverhalt offenkundig aussichtslos ist, wenn keine forensisch tragfähigen Anknüpfungspunkte für eine Bankhaftung oder Tracing-Maßnahme bestehen oder wenn der Schaden in keinem Verhältnis zum Aufwand steht. Diese Prüfung erfolgt vor Mandatsannahme und ohne Berechnung für Sie.

Welche systemischen Risiken offenbart der Drift Protocol Hack für DeFi auf Solana?

Der Drift Protocol Hack ist kein isoliertes Versagen eines einzelnen Teams — er ist ein Stresstest für die gesamte Governance-Architektur der DeFi-Industrie. Das Kernproblem liegt nicht im Solana-Protokoll selbst, das technisch fehlerfrei lief. Es liegt in drei strukturellen Schwächen: die Verwendung von durable nonces ohne ausreichende Prüfmechanismen durch Security-Council-Mitglieder; die Einführung eines 2/5-Multisigs ohne Timelock bei gleichzeitig bestehender Social-Engineering-Exposition; und die fehlende Echtzeit-Überwachung durch Circle bei großvolumigen USDC-Transfers, die mit bekannten Hack-Signaturen korrelierten.

Für Sie als Anleger sollte dieser Hack konkrete Schutzüberlegungen anstoßen: Prüfen Sie, ob das Protokoll, das Sie nutzen, einen Timelock für Admin-Upgrades vorsieht — typischerweise 24 bis 72 Stunden zwischen Ankündigung und Ausführung. Prüfen Sie, welcher Stablecoin-Anteil von einem zentralen Emittenten eingefroren werden kann — und ob dieser nachgewiesenermaßen über Monitoring-Kapazitäten verfügt. Prüfen Sie, ob das Protokoll über eine Versicherungs- oder Sicherheitstranche verfügt, die im Schadensfall aktiviert werden kann.

DeFi-Protokolle sind regulatorisch keine Grauzone mehr. MiCAR schafft ab 2026 klare Zulassungspflichten für Krypto-Dienstleister in der EU, und DSGVO Art. 82 eröffnet Schadensersatzansprüche bei Datenschutzverstößen durch Protokollbetreiber. Sobald ein DeFi-Protokoll EU-Nutzer aktiv adressiert, ohne unter MiCAR reguliert zu sein, entsteht eine Haftungslinie, die durch nationale Gerichte und die BaFin als Aufsichtsbehörde gefüllt wird.

„Wenn Sie Opfer von Krypto-Betrug geworden sind, zählt jede Stunde. Sichern Sie Ihre Beweise und lassen Sie Ihren Fall von einer spezialisierten Kanzlei analysieren. Kontaktieren Sie uns unter kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.“
— Anna O. Orlowa, LL.M., RAin + FAin Bank-/Kapitalmarktrecht, Zert. Expertin Kryptowerte + Steuern

Häufig gestellte Fragen zum Drift Protocol Hack

Können DACH-Geschädigte der US-Class-Action gegen Circle beitreten?

Ja, grundsätzlich ist das möglich. Die von Gibbs Mura am 14. April 2026 beim Federal Court in Massachusetts eingereichte Sammelklage gegen Circle Internet Financial enthält keine explizite geografische Beschränkung auf US-amerikanische Kläger. Anleger aus Deutschland, Österreich und der Schweiz können als Mitglieder der Klägerklasse aufgenommen werden, wenn sie nachweisen können, dass sie zum Zeitpunkt des Hacks aktive Drift-Nutzer mit dokumentiertem Schaden waren. Die Klage wird auf Erfolgsbasis geführt — ein vorgebührenfreies Erstgespräch mit der Kanzlei klärt, ob Ihr konkreter Fall die Standing-Anforderungen nach US-Bundesrecht erfüllt. Parallel bleibt der Weg über das deutsche Zivil- und Strafrecht vollständig offen und kann gleichzeitig verfolgt werden.

Welche Anspruchsgrundlagen bestehen gegen die DPRK-Täter im deutschen Recht?

Strafrechtlich sind § 263 StGB (Betrug), § 263a StGB (Computerbetrug) und § 261 StGB (Geldwäsche) einschlägig. Zivilrechtlich gegen identifizierbare Akteure kommen § 823 Abs. 2 BGB in Verbindung mit § 263 StGB als Schutzgesetz, § 826 BGB (vorsätzliche sittenwidrige Schädigung) und § 812 BGB (bereicherungsrechtliche Rückforderung) in Betracht. Die Vermögensabschöpfung richtet sich nach § 73 StGB in Verbindung mit § 111e StPO. Praktisch ist der Weg der Direktdurchsetzung gegen DPRK-Akteure über das Rechtshilfeverfahren (MLA) über das Justizministerium möglich, aber aufwendig. OFAC-Sanktionen der USA gegen DPRK-Wallets entfalten faktische Sperren auf regulierten Exchanges und können über US-Strafbehörden koordiniert werden.

Was sind durable nonces auf Solana und warum waren sie das Einfallstor?

Durable Nonces sind ein spezielles Feature des Solana-Protokolls, das es erlaubt, Transaktionen vorab kryptografisch zu signieren und sie zu einem beliebigen späteren Zeitpunkt — Tage oder Wochen nach der Signatur — ohne erneute Genehmigung einzureichen. Im normalen Solana-Betrieb verfallen Transaktionen nach wenigen Sekunden, wenn sie nicht bestätigt werden. Durable Nonces heben dieses Verfallsdatum auf. Die Angreifer nutzten dieses Feature, indem sie Security-Council-Mitglieder dazu brachten, scheinbar harmlose Transaktionen blind zu signieren — ohne dass diese Mitglieder realisierten, dass es sich um vorab konstruierte Admin-Key-Übertragungen handelte, die erst Wochen später ausgeführt würden.

Wie funktioniert die Tracing-Strategie, wenn die Beute in CCTP-USDC dormant liegt?

Die gesamte Transferkette von der Solana-Drainage über die CCTP-Bridge bis zu den Ethereum-Empfängeradressen ist transparent und unveränderlich auf der Blockchain gespeichert. Forensische Dienste wie Chainalysis können diese Kette vollständig dokumentieren und mit bekannten DPRK-Operationsadressen korrelieren. Sobald Liquiditätsbewegungen auf dormanten Wallets stattfinden, lösen Echtzeit-Monitoring-Systeme Alarme aus — damit entstehen Zeitfenster für behördliche Sicherungsmaßnahmen. Als Geschädigter sollten Sie alle eigenen Transaktionsdaten sichern und frühzeitig eine Blockchain-Forensik-Einheit beauftragen, die Ihre spezifischen Einlagen in der Schadenskette lokalisieren und für ein Gerichtsverfahren dokumentieren kann.

Welche Rolle spielt USDC-Issuer Circle bei der Wiederbeschaffung?

Circle ist als zentralisierter USDC-Emittent technisch und vertraglich in der Lage, USDC-Adressen einzufrieren — eine Funktion, die Circle bereits neun Tage vor dem Drift-Hack in einem anderen Fall genutzt hatte. Im Rahmen der Class Action wird Circle vorgeworfen, trotz erkennbarer On-Chain-Warnsignale und trotz des achtstündigen CCTP-Transferfensters nicht eingegriffen zu haben. Für die Wiederbeschaffung bedeutet das: Circle ist als potenzielle Kooperationspartei gegenüber Strafverfolgungsbehörden adressierbar, und im Rahmen gerichtlicher Verfügungen kann Circle zur Einfrierung noch nicht liquidierter USDC-Bestände verpflichtet werden. Die US-Sammelklage gegen Circle ist dabei nicht nur ein Schadensersatzinstrument — sie erzeugt auch institutionellen Druck, der Circle zur Kooperation mit Behörden und Geschädigten bewegen kann.

Der Drift Protocol Hack vom 1. April 2026 markiert einen Wendepunkt: Die ersten 285 Millionen Dollar, die durch staatlich gesteuerte nordkoreanische Akteure aus einem DeFi-Perpetual-Futures-Protokoll auf Solana abgezogen wurden — nicht durch einen technischen Bug, sondern durch methodisches Social Engineering und die präzise Ausnutzung einer Governance-Schwachstelle. Die Class Action gegen Circle eröffnet erstmals eine Haftungslinie gegen den zentralen Stablecoin-Emittenten. Für Sie als Anleger bedeutet das: Handeln Sie jetzt, dokumentieren Sie lückenlos, und lassen Sie die forensischen und rechtlichen Optionen frühzeitig prüfen.