Solanas 270-Mio.-$-Nachspiel bei Drift: Können STRIDE-Sicherheit und der „Marktführer für agentische Zahlungen“ koexistieren?

Am 1. April 2026 entwendete eine nordkoreanische Geheimdienstoperation, die seit sechs Monaten lief, 270 Millionen $ aus dem Drift Protocol. Sechs Tage später tat die Solana Foundation etwas Ungewöhnliches für eine Chain, die ihren bislang größten DeFi-Verlust verkraften musste: Sie erklärte sich zum „Leader für agentenbasierte Zahlungen“ und rollte im gleichen Atemzug ein kontinuierliches Sicherheitsprogramm aus.

Das ist kein Tippfehler und kein Zufall. Solana versucht, zwei Narrative gleichzeitig zu bedienen. Defensive Glaubwürdigkeit durch STRIDE, ein von der Foundation finanziertes Sicherheitssystem mit 24/7-Überwachung und einem formalen Netzwerk zur Reaktion auf Vorfälle. Offensive Positionierung als die Chain, die KI-Agenten nutzen werden, um Geld zu bewegen. Die Frage ist, ob ein Markt, der gerade zugesehen hat, wie 270 Millionen $ zur Vordertür hinausspazierten, eine der beiden Geschichten glaubt, geschweige denn beide.

Der Exploit, der einen strategischen Kurswechsel erzwang

Der Drift-Angriff ist eine erneute Betrachtung wert, da er neu definiert, was „Sicherheitsversagen“ für eine Hochdurchsatz-Chain bedeutet. Die Angreifer, die von Elliptic und TRM Labs der Gruppe UNC4736 zugeordnet wurden (auch bekannt als AppleJeus und Citrine Sleet), haben nicht die Kryptografie geknackt. Sie haben keinen Reentrancy-Bug gefunden. Sie verbrachten sechs Monate damit, sich als Quant-Handelsfirma auszugeben, Drift-Mitwirkende auf Konferenzen zu treffen, mehr als 1 Million $ einzuzahlen und einen Ecosystem Vault zu integrieren, um Vertrauen aufzubauen.

Die technische Kill-Chain war ebenso geduldig. Ein bösartiger TestFlight-Build und ein VSCode/Cursor-Exploit verschafften den Angreifern Zugriff auf die Geräte der Multisig-Unterzeichner. Dann nutzten sie Durable Nonces, eine legitime Solana-Funktion, die für den operativen Komfort entwickelt wurde, um den Sicherheitsrat von Drift dazu zu verleiten, Transaktionen vorab zu genehmigen, die erst Wochen später in Kontexten ausgeführt wurden, die die Unterzeichner nie vorgesehen hatten. Als der Angriff ausgelöst wurde, sah er wie eine autorisierte Aktivität aus.

Das On-Chain-Nachspiel legte ein zweites Problem offen. Der Angreifer transferierte rund 232 Millionen $in USDC von Solana nach Ethereum unter Verwendung des Cross-Chain Transfer Protocol (CCTP) von Circle. Über 18 Stunden lang blieben die Gelder liquide. Circle fror sie nicht ein. CEO Jeremy Allaire bestätigte später die Richtlinie: USDC-Wallets werden nur auf Anweisung von Strafverfolgungsbehörden oder Gerichten auf die schwarze Liste gesetzt, nicht in Echtzeit während eines laufenden Exploits. ZachXBT und andere Ermittler nannten die Verzögerung inakzeptabel. Drift widersprach lautstark genug, um zwei Wochen später anzukündigen, dass der Relaunch in USDT erfolgen würde, unterstützt durch ein Finanzierungspaket in Höhe von 147,5 Millionen$ von Tether und Partnern.

Der größte Stablecoin-Emittent einer Chain blieb untätig, also wechselte das Flaggschiff-Protokoll dieser Chain den Stablecoin. Das ist der kulturelle Bruch, auf den die Solana Foundation reagieren musste.

STRIDE: Sicherheit als stiftungsfinanzierte Infrastrukturleistung

Am 6. April 2026 kündigte die Solana Foundation STRIDE an, was für Solana Trust, Resilience and Infrastructure for DeFi Enterprises steht. Das Framework, das gemeinsam mit Asymmetric Research entwickelt wurde, ersetzt das traditionelle Modell „einmal prüfen und hoffen“ durch ein gestaffeltes, kontinuierliches Programm.

Die Struktur ist spezifisch:

• Acht Sicherheitssäulen, die Betriebssicherheit, Zugriffskontrollen, Multisig-Konfigurationen, Governance-Schwachstellen und verwandte Bereiche abdecken. Asymmetric Research führt praktische Bewertungen durch und veröffentlicht die Ergebnisse in einem öffentlichen Repository.
• 10 Mio. $ TVL-Schwelle: Qualifizierte Protokolle erhalten eine von der Foundation finanzierte 24/7-Bedrohungsüberwachung, die auf das Risikoprofil abgestimmt ist.
• 100 Mio. $ TVL-Schwelle: Qualifizierte Protokolle erhalten formale Verifizierungsarbeiten – jene Art von mathematisch fundierter Absicherung, die bisher Rollup-Cores und L1-Clients vorbehalten war, nicht aber dem DeFi-Anwendungs-Layer.
• SIRN, das Solana Incident Response Network, ein Zusammenschluss von Sicherheitsfirmen und Forschern, die sich zur Echtzeit-Krisenkoordination verpflichtet haben. Gründungsmitglieder sind unter anderem OtterSec, Neodyme, Squads und ZeroShadow.

Was STRIDE strukturell interessant macht, ist nicht die Technologie. Es ist die Ökonomie. Die Solana Foundation übernimmt die Überwachungskosten für Protokolle, die die TVL-Hürden nehmen. Damit wird Sicherheit zu einem öffentlichen Gut, das auf Chain-Ebene finanziert wird, anstatt ein Posten zu sein, den jedes Protokollteam mit Auditoren aushandelt. Dieses Modell ähnelt eher der Vergabe von Zuschüssen für Client-Diversität bei Ethereum als der Art und Weise, wie die meisten DeFi-Audits heute beschafft werden.

Die unbeantwortete Frage ist, ob eine 24/7-Überwachung Drift gestoppt hätte. Die Angreifer verfügten über gültige Signaturen von einem kompromittierten Multisig. Kein externer Monitor sieht „Angreifer eingeloggt“ als Signal, wenn der Login authentisch kryptografisch autorisiert ist. Überwachung kann die Reaktionszeit verkürzen. Sie verhindert jedoch kein Social Engineering der Unterzeichner. Die ehrliche Einordnung von STRIDE ist, dass es das Fenster zwischen dem Einbruch und dem Einfrieren der Gelder verkürzt. Die Klasse von Sicherheitslücken, die Drift 270 Mio. $ kostete, beseitigt es nicht.

Die These der agentenbasierten Zahlungen und die Zahlen dahinter

Sich selbst zum Marktführer in einer Kategorie zu erklären, funktioniert nur, wenn die Daten dies stützen. Solanas Anspruch auf die Marktführerschaft bei agentenbasierten Zahlungen wird durch überraschend konkrete Zahlen untermauert.

Bis Anfang 2026 ist das x402-Zahlungsprotokoll, das ursprünglich von Coinbase entwickelt wurde und nun unter der neuen x402 Foundation der Linux Foundation gehostet wird, zur dominierenden Schiene für Zahlungen von KI-Agent zu KI-Agent geworden. Solana macht in der Woche bis zum 9. Februar 2026 etwa 49 % des Marktanteils bei x402-Transaktionen aus, wobei ein leitender Angestellter der Solana Foundation schätzt, dass sogar 65 % aller agentenbasierten On-Chain-x402-Zahlungen über Solana laufen. Seit dem Start von x402 auf Solana im letzten Sommer hat das Netzwerk mehr als 35 Millionen Transaktionen und über 10 Millionen $ Volumen über das Protokoll verarbeitet.

Betrachtet man das Gesamtbild, werden die Zahlen noch größer. KI-Agenten waren im Jahr 2025 für ein Zahlungsvolumen von 31 Milliarden $auf Solana verantwortlich. a16z prognostiziert, dass x402 in den nächsten fünf Jahren ein Zahlungsvolumen von 30 Billionen$ erfassen könnte, wenn die Akzeptanz bei Unternehmen und Verbrauchern ihren aktuellen Kurs beibehält. Die aggressivere interne Prognose der Solana Foundation lautet, dass innerhalb von zwei Jahren 99 % der On-Chain-Transaktionen von KI-Agenten gesteuert werden.

Das technische Argument ist nicht umstritten. Solanas Finalität von etwa 400 ms und das Sub-Cent-Gebührenmodell passen zum Machine-to-Machine-Zahlungsprofil auf eine Weise, wie es die 12-sekündige Slot-Zeit von Ethereum nicht tut, unabhängig von L2-Skalierung. Agenten, die viele kleine Aufrufe pro Sekunde tätigen, benötigen eine Abwicklung, die wie ein Zahlungsnetzwerk aussieht, nicht wie ein Settlement-Layer. ElizaOS, das Framework, das mit mehr als 17.600 GitHub-Sternen zum De-facto-„Linux für On-Chain-Agenten“ geworden ist, bietet zusammen mit dem Solana Agent Kit und seinen nativen Jupiter-Integrationen die Entwickleroberfläche. AI Rig Complex und ähnliche Frameworks standardisieren den Zugang der Agenten zu Liquidität.

Mit anderen Worten: Solana wählt kein neues Narrativ. Es benennt eine Position, die es bereits innehat.

Die historische Parallele: DAO, BNB, Solana

Es hilft, einen Vergleich dazu heranzuziehen, wie Ketten sich nach bedeutenden Exploits in der Vergangenheit neu positioniert haben.

Ethereums Reaktion auf den DAO-Hack von 2016 war maximalistisch. Der Abfluss von 150 Millionen Dollar aus einem Smart Contract löste eine umstrittene Hard Fork aus, die die Chain zurücksetzte und die Gelder den Investoren neu zuordnete. Diese Maßnahme rettete die Einleger der DAO. Sie spaltete jedoch auch dauerhaft die Community, brachte Ethereum Classic hervor und brach den sozialen Vertrag der Unveränderlichkeit – ein Preis, den Ethereum seit zehn Jahren in philosophischen Argumenten zahlt. Ethereum nutzte die DAO, um sich als eine Chain neu zu definieren, in der Smart Contracts Code sind, es sei denn, die Community entscheidet anders.

Die BNB Chain schlug nach dem 568-Millionen-Dollar-Hack ihrer Cross-Chain-Bridge im Jahr 2022 einen anderen Weg ein. Sie führte eine Hard Fork als technischen Patch aus, verstärkte die Diversität der Validatoren sowie die Cross-Chain-Überwachung und widerstand der Versuchung eines Rebrandings. Die BNB Chain verkündete keine neue narrative Kategorie. Sie reparierte einfach die Leitung.

Solana versucht im April 2026 ein drittes Muster. Kein Rollback, die Drift-Gelder sind weg. Kein einfacher Patch, da die Schwachstelle menschlicher Natur war und nicht auf Protokollebene lag. Stattdessen: das Ereignis als katastrophal anerkennen, ein neues Sicherheitsregime finanzieren und gleichzeitig das zukunftsorientierte Narrativ verdoppeln, das die Chain bereits aufgebaut hatte. Dies kommt dem näher, was Visa und Mastercard nach einer größeren Sicherheitsverletzung tun: in Betrugsinfrastruktur investieren und dann aggressiver mit Vertrauen werben. Für eine Blockchain ist dies ein ungewöhnliches Verhalten. Ob es funktioniert, bleibt eine offene Frage.

Wo das doppelte Messaging scheitern könnte

Die Spannung ist real. Zwei Belastungspunkte stechen hervor.

Erstens skaliert der Agenten-Traffic genau die Angriffsfläche, die STRIDE zu sichern versucht. Eine Agenten-Ökonomie besteht per Definition aus vielen kleinen Akteuren, die geringe Kapitalmengen halten und viele Signaturen pro Minute autorisieren. Die Kombination aus Social-Engineering und Durable Nonces, die gegen Drift eingesetzt wurde, wird nicht offensichtlich schwieriger, wenn Ihr Unterzeichner ein Bot statt eines Menschen ist. Es könnte sogar einfacher werden. Je mehr die Chain das Rennen um „agentische Zahlungen“ gewinnt, desto interessanter wird sie für Angreifer, die sich auf die Manipulation von Vorab-Genehmigungen spezialisiert haben.

Zweitens konzentriert das Agenten-Narrativ das Risiko auf der Infrastrukturebene. Wenn 99 % der On-Chain-Transaktionen agentengetrieben sind, werden der RPC-Anbieter, der Wallet-Dienst und der Indexer zum Schadensradius, wenn etwas schiefgeht. Ketten, die den Agenten-Traffic dominieren, werden Premium-Infrastruktur-Einnahmen und eine Premium-Infrastruktur-Überprüfung anziehen. Die Drift-Post-Mortem-Analyse ist im Grunde ein Stresstest dafür, wie die Foundation plant, Infrastruktur-Vorfälle als erstklassige Sicherheitsereignisse und nicht als Lieferantenprobleme zu behandeln. STRIDE deutet dies an, indem es operative Sicherheit in seine Säulen aufnimmt. Wie tief das in der Praxis geht, wird wichtiger sein als jede Marketingbotschaft.

Was dies für Infrastrukturbetreiber bedeutet

Für Teams, die RPC-Nodes, Indexer oder Wallet-Backends auf Solana betreiben, erhöht das Post-Drift-Umfeld die Messlatte dafür, wie Infrastruktur verkauft und versichert wird. Solanas Durchsatzvorteil für Agenten-Traffic ist real, aber dasselbe Volumen, das Premium-Preise rechtfertigt, vergrößert auch den gefährdeten wirtschaftlichen Wert pro Node-Stunde. Erwarten Sie, dass mehr Kunden nach expliziten SLAs für die Reaktion auf Vorfälle, Transaktionssimulation auf der RPC-Ebene und Anomalieerkennung auf der Unterzeichnerseite zusätzlich zu den grundlegenden Uptime-Garantien fragen. Das Gespräch über Infrastruktur verlagert sich von „wie schnell“ zu „wie schnell und wie sicher“.

BlockEden.xyz betreibt Solana RPC- und Indexing-Infrastruktur in Produktionsqualität für Teams, die DeFi-, Wallet- und KI-Agenten-Anwendungen entwickeln. Wenn Sie Architekturen für hochfrequenten Agenten-Traffic mit der Zuverlässigkeit entwerfen, die der Post-Drift-Markt jetzt verlangt, erkunden Sie unsere Solana-Services, um auf Schienen zu bauen, die für Workloads in Agenten-Größenordnung ausgelegt sind.

Die offene Frage des Marktes

Die Wette der Solana Foundation ist, dass Sicherheitsglaubwürdigkeit und das Momentum als Agenten-Chain keine konkurrierenden Geschichten sind. Sie argumentieren, dass dieselbe Foundation, die innerhalb von sechs Tagen ein finanziertes Netzwerk zur Reaktion auf Vorfälle aufbauen kann, auch in der Lage ist, der Settlement-Layer für autonomen Handel zu sein. Das ist auf dem Papier eine schlüssige Position.

Es hängt von drei Dingen ab. Ob STRIDE die Trefferquote beim nächsten Exploit der DPRK-Klasse ändert und nicht nur die Reaktionszeit. Ob der USDT-Schwenk von Drift isoliert bleibt oder zu einem Muster wird, das die Rolle von USDC auf Solana aushöhlt. Und ob agentische Zahlungen weiterhin ein Phänomen mit Solana-Mehrheit bleiben, sobald Base, Arbitrum und alternative L1s das x402-Integrations-Playbook kopieren.

Das nächste Mal, wenn ein neunstelliger Exploit ein Protokoll mit mehr als 10 Millionen Dollar TVL trifft, wird die Reaktionszeit der Foundation der Gradmesser sein. Wenn die Überwachung die Intervention von 18 Stunden auf zwei verkürzt, funktioniert STRIDE wie versprochen, und das Narrativ der agentischen Zahlungen erhält eine glaubwürdige Sicherheitsgeschichte an seiner Seite. Wenn nicht, verwandelt sich das doppelte Messaging in eine doppelte Verwundbarkeit, und die Chain wird sich entscheiden müssen, welche Geschichte sie erzählt.

Vorerst ist Solana die erste große L1, die ein Rebranding nach einem Exploit nicht als Rückzug in Entschuldigungen betrachtet, sondern als treibende Kraft, um gleichzeitig widerstandsfähiger zu werden und zu beschleunigen. Das ist eine ehrgeizige Wette, und der Markt wird das Experiment in den nächsten zwölf Monaten in Echtzeit durchführen.

Quellen

• Drift Protocol für 286 Millionen $ in mutmaßlichem Angriff mit Verbindung zur DVRK ausgenutzt (Elliptic)
• Solana Foundation startet Sicherheitsüberholung Tage nach dem 270 Millionen $-Exploit von Drift (CoinDesk)
• Drift gibt an, dass der 270 Millionen $-Exploit eine sechsmonatige nordkoreanische Geheimdienstoperation war (CoinDesk)
• Drift erhält 148 Millionen $ Finanzierung von Tether und Partnern (CoinDesk)
• Wie eine für den Komfort entwickelte Solana-Funktion es einem Angreifer ermöglichte, 270 Mio. $ von Drift abzuziehen (CoinDesk)
• Nordkoreanische Hacker greifen Drift Protocol in 285 Millionen $-Raub an (TRM Labs)
• Drift Protocol Hack: Wie privilegierter Zugriff zu einem Verlust von 285 Mio. $ führte (Chainalysis)
• Einführung von STRIDE: Ein Sicherheitsprogramm für das Solana-Ökosystem (Asymmetric Research)
• Die Messlatte für die Sicherheit des Solana-Ökosystems höher legen (Solana)
• Solana Foundation startet STRIDE-Programm zur Stärkung der Ökosystem-Sicherheit (The Block)
• Was ist x402? Zahlungsprotokoll für KI-Agenten auf Solana
• Solana kontrolliert 49 % der KI Agent-zu-Agent-Zahlungen auf x402 (ETHNews)
• Vorstandsmitglied der Solana Foundation prognostiziert, dass KI-Agenten 99 % der On-Chain-Transaktionen antreiben werden (Crypto Briefing)
• DAO Hack erklärt: Wie eine Schwachstelle Ethereum spaltete (Gemini)
• BNB Chain führt Hard Fork durch, um das Netzwerk nach 100 Millionen $-Hack zu sichern (The Block)
• Linux Foundation gründet die x402 Foundation