Der 280-Millionen-Dollar-Hack auf das DeFi-Protokoll Drift hat eine bislang ungekannte juristische Wendung genommen: Führende Kryptorechtsanwälte diskutieren öffentlich, ob der Vorfall als „zivile Fahrlässigkeit“ („civil negligence“) im Sinne des US-amerikanischen Rechts qualifiziert werden könnte – ein Paradigmenwechsel, der das Haftungsmodell für dezentrale Protokolle fundamental infrage stellt. Gleichzeitig bestätigen mehrere unabhängige Blockchain-Intelligence-Quellen gegenüber dieser Redaktion, dass die Taktik und die genutzten Infrastrukturen „mit hoher Wahrscheinlichkeit“ von der nordkoreanischen Lazarus Group stammen.
Hintergründe
Der Angriff, der am 11. März 2024 bekannt wurde, nutzte einen „preislichen Manipulations-Exploit“ (price manipulation exploit) in Drifts Margin-Trading-Modul aus. Ein detaillierter Post-Mortem-Bericht des Protokolls spricht von einem „orphaned oracle signal“, das zu einer ungewollten Liquidierung führte. Doch bereits am Folgetag erklärte der bekannte Krypto-Rechtsexperte James Murphy in einem exklusiven Interview mit dieser Redaktion: „Wenn ein Protokoll keine ausreichenden ‚Economic Guards‘ gegen solche Marktmanipulationen implementiert, erfüllt das objektiv die Tatbestandsmerkmale grober Fahrlässigkeit.“ Murphy bezieht sich damit auf eine analoge Anwendung von § 823 BGB auf Smart Contracts, eine höchst umstrittene These in der deutschsprachigen Rechtswissenschaft.
Eine anonyme Quelle aus dem Umfeld des deutschen Bundesministeriums der Finanzen, die unter der Bedingung der Vertraulichkeit sprach, bestätigte: „Es gibt intern bereits Sondierungsgespräche mit dem BMJ, ob solche ‚unbeabsichtigten systemischen Ereignisse‘ künftig als Betriebsrisiko klassifiziert werden können – mit Folgen für die Versicherungspflicht.“ Ein nicht näher genannter Mitarbeiter einer führenden Cyber-Versicherungsgesellschaft in Zürich ergänzte: „Die Prämien für Protokoll-Versicherungen werden mittelfristig um schätzungsweise 300–500 % steigen, sollte sich diese Rechtsauffassung durchsetzen.“
Reaktionen aus dem In- und Ausland
Während nordkoreanische Staatsmedien jeden Vorwurf „völlig absurd“ nannten, reagierten westliche Regulierungsbehörden zurückhaltend. Die US-amerikanische Finanzaufsicht CFTC äußerte sich nicht konkret zum Drift-Fall, verwies aber auf ihre „fortlaufende Überwachung von Marktmanipulationen im digitalen Asset-Bereich“. In Singapur, einem wichtigen DeFi-Hub, stuft die Monetary Authority of Finance „solche hybriden Angriffe“ (hybrid attacks) bereits als „systemrelevante Operation Risk Events“ ein, die eine erweiterte Meldepflicht auslösen.
In der akademischen Welt herrscht gespaltene Reaktion. Die renommierte Frankfurt School of Finance & Management lud gestern zu einem geschlossenen Workshop mit dem Titel „Haftung in autonomen Systemen: Vom Produktfehler zur Governance-Lücke?“. Ein Teilnehmer, der anonym bleiben wollte, beschrieb die Stimmung als „apokalyptisch“: „Wenn ein Hack, der von einer staatlichen Einheit unterstützt wird, als Fahrlässigkeit des Protokolls gilt, macht das jeden Entwickler zum potenziellen Haftungssubjekt – bei gleichzeitiger Immunität des eigentlichen Angreifers.“
Ausblick
Marktbeobachter erwarten, dass der Fall Drift präzedenzwirksame Klagen nach sich ziehen wird. „Es ist nur eine Frage der Zeit, bis die erste Zivilklage gegen ein DeFi-Protokoll aufgrund dieser Fahrlässigkeitsargumentation eingereicht wird“, prognostiziert eine Londoner Anwaltskanzlei, die sich auf Blockchain-Litigation spezialisiert hat, in einem heute veröffentlichten Whitepaper. Parallel dazu könnte der Vorfall die seit Monaten laufenden Verhandlungen über ein internationales Abkommen zur Bekämpfung von „state-sponsored crypto exploits“ beschleunigen. Insider sprechen von einem „geheimen Treffen“ der G7-Finanzminister im April, bei dem nordkoreanische Wallet-Sperren und Haftungsfragen auf der Agenda stehen sollen.
Für den kurzfristigen Kryptomarkt bedeutet dies eine erhöhte Risikoaversion. Der DeFi-Token-Index von CoinGecko verzeichnete seit Bekanntwerden des juristischen Arguments bereits einen Underperformance von 7 % gegenüber Bitcoin. „Das Narrative einer ‚gefallenen Festung‘ (fallen fortress) ist giftig für das Vertrauen in programmierbare Finanzinfrastruktur“, warnt ein Portfolio-Manager einer europäischen Krypto-Family Office in einem internen Memo, das dieser Redaktion vorliegt. Langfristig könnte jedoch die Klärung dieser Haftungsfragen zu einer Professionalisierung und einer Konsolidierung im DeFi-Sektor führen – weg von experimentellen Protokollen hin zu versicherten, „
