Drift Protocol Hack: 285 Mio. $ durch Lazarus-Gruppe verloren

Drift Protocol: 285 Mio. $ Hack — Ihre Rechte und Handlungsoptionen

Was geschah beim Drift Protocol Hack am 1. April 2026?

Der Drift Protocol Hack vom 1. April 2026 ist einer der präzisesten und verheerendsten Angriffe in der Geschichte dezentraler Finanzsysteme. In zwei Transaktionen, ausgeführt im Abstand von exakt einer Sekunde, übertrugen staatlich gesteuerte Angreifer die vollständige administrative Kontrolle über Drift Protocol auf sich selbst und plünderten anschließend 285 Millionen US-Dollar aus den Vaults der Plattform. Wenn Sie Kapital bei Drift Protocol gehalten haben, sind Sie Teil des bislang zweitgrößten Einzelangriffs in der Geschichte der Solana-Blockchain — und dieser Artikel erklärt Ihnen, welche rechtlichen Handlungsoptionen sich für Sie ergeben.

📣 Telegram-Kanal der Fachanwältin

Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.

Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.

▶ Jetzt @kryptobetrug_anwaeltin auf Telegram folgen

Drift Protocol war zum Zeitpunkt des Angriffs die größte dezentrale Perpetual-Futures-Börse auf Solana, mit einem Total Value Locked (TVL) von rund 550 Millionen US-Dollar. Innerhalb einer Stunde nach Angriffsbeginn war dieser Wert auf unter 300 Millionen gefallen. Der DRIFT-Token verlor über 40 Prozent seines Wertes. Mindestens 20 mit Drift verbundene Solana-DeFi-Protokolle meldeten Betriebsunterbrechungen oder eigene Verluste. Das Team von Drift sah sich gezwungen, auf der Plattform X ausdrücklich klarzustellen, dass es sich — ausgerechnet am 1. April — nicht um einen Aprilscherz handelte.

Nach den Erkenntnissen von Chainalysis und TRM Labs zeigen die On-Chain-Indikatoren eine starke Übereinstimmung mit früheren Operationen der nordkoreanischen Lazarus-Gruppe, speziell der Untergruppe UNC4736. Die formale Attribution steht noch aus, doch das operative Muster — monatelange Vertrauensinfiltration, technische Vorbereitung über mehrere Wochen, präziser Einschlag — deckt sich exakt mit dem Bybit-Hack vom Februar 2025, bei dem 1,4 Milliarden US-Dollar entwendet wurden. Wenn Sie als Anleger oder institutioneller Nutzer durch diesen Angriff geschädigt wurden, stehen Ihnen unter deutschem und europäischem Recht mehrere Rechtswege offen — vorausgesetzt, Sie handeln schnell und sichern Ihre Beweismittel.

Wie planten die Angreifer den Drift Protocol Hack über Monate hinweg?

Die Täter verbrachten eine sechsmonatige, staatlich koordinierte Operation damit, das Protokoll von innen zu unterwandern. Ab Herbst 2025 positionierten sie sich bei internationalen Krypto-Konferenzen als seriöse quantitative Handelsfirma, deponierten über eine Million US-Dollar echtes Kapital in Drift-Vaults und bauten so ein belastbares Vertrauensverhältnis zu mehreren Kernbeiträgern auf. Am 10. und 11. März 2026 begannen sie, Angriffsinfrastruktur über Tornado Cash zu finanzieren.

Am 12. März 2026 erstellten die Täter den gefälschten CarbonVote Token (CVT) mit einer Gesamtversorgung von 750 Millionen Token. Sie seedierten einen Raydium-Liquiditätspool mit lediglich 500 US-Dollar und handelten CVT zwischen eigenen Wallets hin und her — sogenanntes Wash-Trading — um einen künstlichen Marktpreis von circa einem US-Dollar zu etablieren. Ein von den Angreifern kontrolliertes Preisorakel übermittelte diesen manipulierten Kurs an das Drift-Protokoll; aus dessen Sicht verfügte CVT damit über alle Merkmale eines legitimen Vermögenswerts.

Zwischen dem 23. und 30. März 2026 nutzten die Angreifer ein legitimes Feature der Solana-Blockchain: sogenannte „Durable Nonces“. Dieses Feature erlaubt es, Transaktionen vorab zu signieren und zeitlich unbefristet aufzubewahren — normale Solana-Transaktionen verfallen nach etwa zwei Minuten, Durable-Nonce-Transaktionen hingegen bleiben dauerhaft gültig. Niemand bei Drift überwachte diese Konten. Durch soziale Manipulation brachten die Täter mindestens zwei der fünf Security-Council-Mitglieder dazu, scheinbar harmlose Transaktionen zu unterschreiben, die in Wirklichkeit die administrative Kontrolle auf eine Angreifer-Adresse übertrugen.

Am 26. März 2026 migrierte Drift zu einem neuen 2-von-5-Multisig-Security-Council ohne jeglichen Timelock. Damit wurde das letzte Sicherheitsfenster eliminiert, das Beobachter hätten nutzen können, um einzugreifen. Folglich beschafften sich die Angreifer auf der neuen Multisig-Konfiguration erneut die erforderlichen zwei Signaturen. Die Bühne war bereitet.

Wie verlief der eigentliche Angriff auf Drift Protocol am 1. April 2026?

Am 1. April 2026 um 16:05:18 UTC wurde die erste vorab signierte Durable-Nonce-Transaktion eingereicht. Diese enthielt den Vorschlag, den Admin-Key des Protokolls auf die Angreifer-Adresse H7PiGqqUaanBovwKgEtreJbKmQe6dbq6VTrw6guy7ZgL zu übertragen. Eine Sekunde später, um 16:05:19 UTC, genehmigte und führte die zweite Transaktion diesen Vorschlag aus. In zwei Blockchain-Operationen hatten die Angreifer vollständige administrative Kontrolle über eine der größten DeFi-Plattformen auf Solana erlangt. Da alle Transaktionen gültige Signaturen autorisierter Personen trugen, löste kein Sicherheitsmechanismus einen Alarm aus.

Mit den nun in ihren Händen liegenden Admin-Rechten whitelisteten die Täter den wertlosen CVT als Sicherungsmittel, setzten Auszahlungslimits außer Kraft und hoben alle Risikoschwellen auf. Daraufhin deponierten sie 500 Millionen CVT-Token als Sicherheit — das manipulierte Oracle bewertete CVT mit rund einem US-Dollar, sodass das Protokoll die Entnahme realer Vermögenswerte zuließ.

In 31 Auszahlungstransaktionen wurden mindestens 18 Token-Typen entleert, darunter USDC (71,4 Mio. $), JLP (159,3 Mio. $), cbBTC (11,3 Mio. $) sowie weitere Positionen bis hin zu WBTC und JitoSOL. Der letzte bestätigte Drain-Vorgang wurde um 18:31 UTC registriert; der gesamte Ablauf dauerte rund 2,5 Stunden. Parallel wurden Tokens über Circle’s Cross-Chain Transfer Protocol und Wormhole auf Ethereum überbrückt — die ersten Bridge-Arrivals erfolgten bereits 23 Minuten nach der Admin-Übernahme — und dort über dezentrale Börsen in ETH konvertiert. On-Chain-Analyst ZachXBT kritisierte öffentlich, dass Circle die USDC-Beträge nicht rechtzeitig einfror.

Warum gilt der Angriff als Werk der Lazarus-Gruppe und der DPRK?

Chainalysis und TRM Labs haben in unabhängigen Analysen festgestellt, dass die On-Chain-Indikatoren in hohem Maße mit früheren Lazarus-Operationen übereinstimmen. Elliptic identifizierte direkte Fund-Flow-Verbindungen zu Adressen aus dem 53-Millionen-Dollar-Hack von Radiant Capital. Die formale Attribution steht noch aus, doch mehrere Merkmale legen staatliche nordkoreanische Urheberschaft nahe.

On-Chain-Belege zeigen Vorbereitungsschritte bereits am 10. und 11. März 2026, finanziert über Tornado Cash — eine typische Verschleierungstaktik der Lazarus-Gruppe. Die operative Struktur — sechsmonatige Undercover-Infiltration, Multisig-Kompromittierung, sofortige Löschung aller Telegram-Chats — deckt sich exakt mit dem Bybit-Hack der Lazarus-Gruppe vom Februar 2025, wo ebenfalls kein Code-Bug, sondern ein durch Social Engineering kompromittierter Signing-Prozess ausgenutzt wurde. Für Sie als Geschädigten ist diese Zuordnung relevant, weil sie den Rahmen für internationale Rechtshilfeersuchen und OFAC-Sanktionsmaßnahmen definiert.

Warum versagten die Sicherheitsaudits von Trail of Bits und Zellic?

Drift Protocol verfügte über eine solide Audit-Geschichte. Trail of Bits prüfte das Protokoll 2022 und 2025, Zellic führte im Februar 2026 ein erneutes Audit durch. Beide Prüfer bewerteten Drift als sicher — dennoch konnte der Angriff stattfinden, weil er auf einer Ebene operierte, die klassische Smart-Contract-Audits grundsätzlich nicht erfassen.

Die kritische Schwachstelle lag nicht im Code, sondern in der Schnittstelle zwischen menschlicher Governance und technischer Infrastruktur. Die Einführung des CVT-Marktes und die Oracle-Konfigurationen erfolgten ohne erneute Prüfung; die Migration des Security Council zu einem 2-von-5-Multisig ohne Timelock am 26. März 2026 blieb ohne Sicherheitsbewertung. TRM Labs fasste es treffend zusammen: Die entscheidende Schwachstelle bestand in der Kombination aus sozial manipulativ erlangten Vorab-Signaturen und einem Security Council ohne jeden Zeitverzug — eine Lücke, die kein Audit-Framework systematisch prüft.

Welche strafrechtlichen Normen gelten für Täter und Opfer nach deutschem Recht?

Aus der Perspektive des deutschen Strafrechts erfüllt das beschriebene Geschehen mit hoher Wahrscheinlichkeit mehrere Tatbestände. Das Verständnis dieser Normen ist für Sie als Geschädigten relevant — einerseits für den Opferstatus im Strafverfahren und andererseits für zivilrechtliche Anschlussansprüche.

§ 263 StGB (Betrug) kommt in Betracht, soweit die Angreifer durch die monatelange Präsentation als legitime Handelsfirma bei Drift-Mitwirkenden einen Irrtum erregten, der kausal zur Unterzeichnung der manipulierten Transaktionen führte. § 263a StGB (Computerbetrug) greift darüber hinaus, da die Täter das Drift-Protokoll und seine Oracle-Infrastruktur durch Verwendung unrichtiger Daten (CVT-Preisorakel) manipulierten, um sich rechtswidrig Vermögensvorteile zu verschaffen. Beide Tatbestände sind als gewerbsmäßige Bandentat zu qualifizieren, was die Strafrahmen erheblich erhöht und Ihnen als Geschädigten eine stärkere Verfahrensstellung sichert.

Darüber hinaus kommen Hacker-Delikte nach dem StGB in Betracht, soweit die Täter über kompromittierte Entwicklungsumgebungen auf interne Systeme von Drift-Mitwirkenden zugegriffen und dabei Datenverarbeitungsinfrastruktur erheblich gestört haben — mindestens 20 verbundene Protokolle waren betroffen. Diese Normen schaffen die strafrechtliche Grundlage, auf der zivilrechtliche Schadensersatzklagen für Sie als Geschädigten aufbauen.

Welche zivilrechtlichen Ansprüche haben Geschädigte nach deutschem Recht?

Im deutschen Zivilrecht ist § 823 Abs. 2 BGB i.V.m. § 263 StGB und § 263a StGB die zentrale Anspruchsgrundlage für Geschädigte. Danach schuldet derjenige Schadensersatz, der schuldhaft ein den Berechtigten schützendes Schutzgesetz verletzt. Da §§ 263 und 263a StGB zumindest auch dem Individualschutz des Vermögens dienen, sind sie als Schutzgesetze im Sinne des § 823 Abs. 2 BGB anerkannt. Der Haftungsumfang umfasst infolgedessen den gesamten kausal durch den Angriff verursachten Schaden zum Zeitpunkt des schädigenden Ereignisses, nebst etwaiger Folgekosten für Blockchain-Forensik, Rechtsberatung und behördliche Meldeverfahren.

Zusätzlich ist § 826 BGB (sittenwidrige vorsätzliche Schädigung) zu prüfen, sofern sich Hinweise auf Tatbeiträge dritter Parteien ergeben, die in Deutschland oder der EU ansässig sind. Dieser Tatbestand setzt kein Schutzgesetz voraus, sondern nur den Nachweis vorsätzlichen, gegen die guten Sitten verstoßenden schädigenden Verhaltens. Wenn eine in der EU lizenzierte Kryptobörse oder ein CASP Sie unzureichend über Risiken aufgeklärt hat, können zudem Haftungsansprüche wegen Kryptobetrugs gegen diese Intermediäre in Betracht kommen. Eine detaillierte forensische Wallet-Analyse bildet dabei die unabdingbare Grundlage für die Kausalitätskette.

Welche Bedeutung hat Krypto-Tracing für die Rückgewinnung gestohlener Mittel?

Krypto-Tracing ist der entscheidende forensische Hebel für Opfer, die ihre Ansprüche substantiieren oder Teile ihrer Verluste zurückgewinnen wollen. Auf der Solana-Blockchain sind sämtliche Transaktionen öffentlich und unveränderlich dokumentiert — einschließlich der Admin-Key-Übertragung um 16:05:19 UTC, der 31 Drain-Transaktionen und der ersten Brücken-Überweisungen auf Ethereum. Diese Datenbasis ermöglicht es daher spezialisierten Forensik-Tools wie Chainalysis Reactor und TRM Labs, den vollständigen Geldfluss zu rekonstruieren.

Die gestohlenen Mittel flossen zunächst vom Drift-Protokoll in USDC-Swap-Transaktionen, anschließend über Circle’s Cross-Chain Transfer Protocol und Wormhole auf Ethereum-Adressen, wurden dort über dezentrale Börsen konsolidiert und schließlich in ETH konvertiert. Dieser Pfad ist on-chain vollständig nachvollziehbar. Das US Office of Foreign Assets Control (OFAC) hat in der Vergangenheit nordkoreanische Hacker-Adressen auf Sanktionslisten gesetzt. Wenn sich nachweisen lässt, dass gestohlene Mittel über eine OFAC-gelistete Adresse geflossen sind, besteht folglich Hebel, um Kryptobörsen und Stablecoin-Emittenten zur Sperrung zu bewegen. Europol und das FBI haben in früheren Lazarus-Fällen erfolgreich kooperiert, wie die Europol-Krypto-Betrug-Operationen zeigen.

Welche EU-regulatorischen Aspekte sind nach dem Drift-Angriff relevant?

Die Markets in Crypto-Assets Regulation (MiCAR), seit Ende 2024 vollständig anwendbar, richtet sich primär an zentrale Krypto-Emittenten und Dienstleister (CASPs). Drift Protocol als dezentrales Protokoll ohne identifizierbaren zentralen Betreiber fällt zwar nicht direkt in den MiCAR-Anwendungsbereich — dennoch ergeben sich für Sie als Geschädigten relevante Konsequenzen.

Wenn Sie über eine in der EU lizenzierte CASP in Drift investiert haben, haftet diese möglicherweise für unzureichende Risikohinweise oder mangelhafte Sorgfaltspflichten gemäß Art. 70 ff. MiCAR. Hat die CASP ihre Meldepflicht bei signifikanten Sicherheitsvorfällen verletzt, obwohl sie Kenntnis von der Drift-Exposition ihrer Kunden hatte, kann dies als eigenständige Pflichtverletzung gewertet werden. Die grenzüberschreitende Natur des Angriffs aktiviert zudem die europäischen Rechtshilfeabkommen und Kooperationsmechanismen von Europol.

Welche Parallelen bestehen zum KelpDAO-Hack und zum Bybit-Angriff?

Der Angriff auf Drift steht nicht isoliert, sondern ist Teil einer Serie großer, der nordkoreanischen Lazarus-Gruppe zugeschriebener DeFi-Attacken, die dasselbe operative Grundmuster verfolgen: monatelange Infiltration durch Social Engineering, Kompromittierung von Multisig-Governance-Mechanismen, präziser Angriff auf einen eng definierten Moment institutioneller Schwäche. Entsprechend gilt der Bybit-Hack der Lazarus-Gruppe vom Februar 2025 als direkter Vorläufer — auch dort kein Smart-Contract-Bug, sondern ein durch Social Engineering kompromittierter Signing-Prozess, mit Folgekosten von 1,4 Milliarden US-Dollar.

Inzwischen überholte der KelpDAO-Hack der Lazarus-Gruppe, der zwischen dem 18. und 19. April 2026 stattfand und 290 bis 293 Millionen US-Dollar entzog, den Drift-Angriff als größten DeFi-Exploit des Jahres 2026. Drift verbleibt damit als zweitgrößter Angriff des Jahres und zweitgrößter Exploit in der Geschichte der Solana-Blockchain — hinter dem Wormhole-Bridge-Hack von 2022 mit 326 Millionen US-Dollar. Das fortgesetzte Muster dieser Lazarus-Operationen verdeutlicht dennoch, dass die Gruppe systematisch und mit staatlicher Ressourcenunterstützung vorgeht. Wer Kapital in DeFi-Protokollen hält, sollte die verfügbaren rechtlichen Schutzinstrumente kennen.

Sie haben durch eine betrügerische Plattform Geld verloren? Schildern Sie uns Ihren Fall — unsere Fachanwältin für Bank- und Kapitalmarktrecht prüft Ihre Handlungsoptionen. Schreiben Sie an kryptoschaden@rexus-recht.de oder nutzen Sie das Kontaktformular auf kryptoschaden.de.

Welche Bedeutung hat § 73 StGB i.V.m. § 111e StPO für Geschädigte?

§ 73 StGB sieht vor, dass das durch eine rechtswidrige Tat Erlangte dem Täter oder einem Dritten, der dadurch bereichert wurde, entzogen werden kann. In Verbindung mit § 73c StGB gilt dies entsprechend für den Wert des Erlangten, wenn der ursprüngliche Gegenstand nicht mehr herausgegeben werden kann. § 111e StPO ermöglicht darüber hinaus die vorläufige Sicherstellung von Vermögenswerten bereits im Ermittlungsverfahren — also bevor eine rechtskräftige Verurteilung vorliegt.

In der Praxis bedeutet dies: Wenn Strafverfolgungsbehörden im Rahmen internationaler Rechtshilfe bestimmte Kryptowallet-Adressen mit dem Drift-Angriff in Verbindung bringen, besteht die Möglichkeit, diese Mittel vorläufig einzufrieren. Die Beschlagnahme von Bitcoin-Beständen aus dem Silk-Road-Netzwerk und die Rückführung von DPRK-Geldern durch das US-Justizministerium zeigen, dass dieser Weg nicht rein theoretisch ist. Er erfordert jedoch enge Zusammenarbeit zwischen Opferanwälten, deutschen Strafverfolgungsbehörden, dem FBI und Europol sowie belastbare forensische Zuordnungsnachweise. Über das Adhäsionsverfahren gemäß §§ 403 ff. StPO können Sie als Geschädigter zivilrechtliche Ansprüche zudem direkt im Strafverfahren geltend machen — ein Instrument, das in Krypto-Fällen zunehmend relevant wird.

Was sollten Geschädigte des Drift-Angriffs jetzt konkret tun?

Wenn Sie durch den Angriff auf Drift Protocol Vermögenswerte verloren haben, zählen die nächsten Schritte. Obwohl der Angriff bereits einige Wochen zurückliegt, sind Beweissicherung und Verfahrenseinleitung noch möglich — und in Einzelfällen sind ebenfalls noch Vermögensblockierungen auf Ethereum-Seite denkbar.

Sichern Sie zunächst alle relevanten Transaktionsbelege: Wallet-Adressen, Transaktions-Hashes, Zeitstempel sowie Screenshots Ihrer Kontostände vor und nach dem Angriff. Erstatten Sie anschließend Strafanzeige bei der zuständigen deutschen Staatsanwaltschaft oder der Zentralstelle Cybercrime Bayern (ZCB) — das begründet Ihren Opferstatus im Strafverfahren. Parallel dazu empfiehlt sich die Beauftragung einer spezialisierten Kanzlei mit der Durchführung eines Krypto-Tracings, denn eine forensische Analyse ordnet Ihren individuellen Schaden einer bestimmten Drain-Transaktion zu — ein zentrales Element für Ihre zivilrechtlichen Ansprüche.

Die Verjährungsfrist gemäß § 195 BGB beträgt drei Jahre ab Kenntnis des Schadens und endet am 31. Dezember 2029. Dennoch empfiehlt sich kein Abwarten: Beweismittel verlieren mit der Zeit an Qualität, und Vermögensblockierungen sind nur zeitnah erfolgversprechend. Wenden Sie sich daher frühzeitig an eine auf Krypto-Schadensrecht spezialisierte Kanzlei.

„Wenn Sie Opfer von Krypto-Betrug geworden sind, zählt jede Stunde. Sichern Sie Ihre Beweise und lassen Sie Ihren Fall von einer spezialisierten Kanzlei analysieren. Kontaktieren Sie uns unter kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.“
— Anna O. Orlowa, LL.M., RAin + FAin Bank-/Kapitalmarktrecht, Zert. Expertin Kryptowerte + Steuern

FAQ: Häufige Fragen zum Drift Protocol Hack

Wie hat der Angreifer beim Drift Protocol Hack die administrative Kontrolle erlangt?

Die Angreifer verbrachten Monate damit, sich als legitime quantitative Handelsfirma auszugeben und das Vertrauen von Drift-Mitwirkenden zu gewinnen. Anschließend nutzten sie Solanas „Durable Nonces“-Feature, um Transaktionen vorab zu signieren und zeitlich unbegrenzt aufzubewahren. Durch soziale Manipulation brachten sie zwei von fünf Security-Council-Mitgliedern dazu, Transaktionen blind zu unterschreiben, die versteckt die Admin-Kontrolle auf die Angreifer übertrugen. Am 1. April 2026 um 16:05:18 UTC wurden diese vorbereiteten Transaktionen ausgelöst — und innerhalb einer Sekunde hatten die Täter die vollständige Protokollkontrolle.

Was war der CVT-Token und welche Rolle spielte er beim Angriff?

CVT (CarbonVote Token) war ein am 12. März 2026 erstellter wertloser Fake-Token der Angreifer. Sie seedierten einen Raydium-Liquiditätspool mit 500 US-Dollar und betrieben Wash-Trading, bis Drift-Preisorakel CVT als legitimes Sicherungsmittel mit einem Wert von rund einem US-Dollar anerkannten. Nach der Admin-Übernahme whitelisteten die Angreifer CVT mit unbegrenzten Borrowing-Limits und hinterlegten 500 Millionen CVT als Sicherheit — auf Basis des manipulierten Oracle-Preises scheinbar 500 Mio. $ wert. Dagegen hoben sie 285 Millionen US-Dollar in realen Vermögenswerten aus den Drift-Vaults ab.

Ist die Lazarus-Gruppe offiziell für den Angriff verantwortlich?

Eine formale strafrechtliche Attribution ist noch nicht abgeschlossen. Chainalysis und TRM Labs haben jedoch in unabhängigen Analysen festgestellt, dass die On-Chain-Indikatoren in hohem Maße mit früheren Lazarus-Operationen übereinstimmen. Elliptic identifizierte Fund-Flow-Verbindungen zu Adressen aus dem Radiant-Capital-Hack. Das operative Muster — sechsmonatige Undercover-Infiltration, Multisig-Kompromittierung, sofortige forensische Spurenbeseitigung — entspricht exakt dem Bybit-Hack vom Februar 2025.

Können Geschädigte ihre verlorenen Kryptowerte zurückbekommen?

Eine vollständige Rückgewinnung ist unwahrscheinlich, jedoch sind Teile der gestohlenen Mittel theoretisch noch erreichbar. Die Ethereum-seitigen USDC-Bestände könnten eingefroren werden, sofern Circle oder andere Emittenten entsprechende Anfragen von Strafverfolgungsbehörden erhalten. US-Behörden haben in der Vergangenheit DPRK-assoziierte Krypto-Adressen beschlagnahmt. Für Sie als Geschädigter aus Deutschland ist die Kombination aus Strafanzeige, forensisch gestützter Schadensaufbereitung und Adhäsionsverfahren der aussichtsreichste Weg.

Bis wann gilt die Verjährungsfrist für Ansprüche aus dem Drift-Angriff?

Deliktische Schadensersatzansprüche gemäß § 823 Abs. 2 BGB i.V.m. §§ 263, 263a StGB unterliegen der regelmäßigen Verjährungsfrist von drei Jahren gemäß § 195 BGB. Diese Frist beginnt gemäß § 199 Abs. 1 BGB mit dem Schluss des Jahres, in dem der Anspruch entstanden ist und der Geschädigte Kenntnis der anspruchsbegründenden Umstände erlangt hat. Da der Angriff am 1. April 2026 stattfand, endet die Verjährungsfrist am 31. Dezember 2029. Gleichwohl empfiehlt sich umgehendes Handeln, da Beweismittel mit der Zeit an Qualität verlieren.