Thought Leadership
Die DeFi-Protokolle THORChain und Verus wurden Opfer von Hackerangriffen. Die Angreifer erbeuteten Krypto-Assets im Gesamtwert von über 21 Millionen Dollar.
Der Markt für dezentrale Finanzanwendungen (DeFi) ist von zwei schwerwiegenden Sicherheitsvorfällen erschüttert worden. Innerhalb weniger Tage wurden die dezentrale Kryptobörse THORChain sowie das Blockchain-Brücken-Protokoll Verus Opfer von gezielten Exploits. Nach Analysen von Blockchain-Sicherheitsunternehmen beläuft sich der kumulierte Gesamtschaden aus beiden Vorfällen auf mehr als 21,6 Millionen US-Dollar. Die Vorfälle zeigen erneut die strukturellen Risiken auf, denen Smart Contracts und dezentrale Verwahrungsmechanismen im Krypto-Sektor ausgesetzt sind. In einem der Fälle hätte laut Experten bereits eine minimale Code-Korrektur genügt, um den Diebstahl von Millionenwerten zu verhindern.
Angriff auf den Liquiditäts-Tresor von THORChain
Der erste Vorfall ereignete sich am vergangenen Freitag, als Analysten des Blockchain-Sicherheitsunternehmens PeckShield ungewöhnliche Transaktionen auf der dezentralen Handelsplattform (DEX) THORChain registrierten. Den Untersuchungen zufolge gelang es den Angreifern, Krypto-Assets im Gesamtwert von rund 10 Millionen US-Dollar aus den Systemen abzuziehen. Die Beute setzte sich unter anderem aus circa 36,75 Bitcoin (BTC) sowie weiteren Token im Wert von rund 7 Millionen US-Dollar zusammen.
Erste Ermittlungen des Entwicklerteams deuten darauf hin, dass die Täter in der Lage waren, den privaten kryptografischen Schlüssel für den Tresor (Vault) des Protokolls zu rekonstruieren. Mit diesem unbefugten Zugriff erlangten sie direkte Kontrolle über die hinterlegten Liquiditätsreserven. Als unmittelbare Reaktion auf den Einbruch fror das THORChain-Netzwerk den laufenden Betrieb, sämtliche Handelsaktivitäten sowie andere sensible Operationen vorübergehend ein, um weiteren Abflüssen vorzubeugen. Der Sicherheitsvorfall wirkte sich direkt auf den Krypto-Markt aus: Der native Token der Plattform, RUNE, verzeichnete im Sieben-Tages-Trend einen drastischen Kursverfall von 27 Prozent und zeigte vorerst keine Anzeichen einer Erholung.
THORChain: Vorwürfe wegen Plattform zur Geldwäsche
Für THORChain ist dies nicht die erste Sicherheitskrise. Das Protokoll und die dahinterstehenden Akteure gerieten in der Vergangenheit wiederholt in das Visier von Cyberkriminellen. Im September 2025 verlor der THORChain-Gründer John-Paul Thorbjornsen schätzungsweise 1,35 Millionen US-Dollar bei einem gezielten Angriff, der staatlich organisierten Hackern aus Nordkorea zugeschrieben wurde.
Darüber hinaus steht das Protokoll innerhalb der Krypto-Industrie seit Längerem in der Kritik. Dem Projekt wird vorgeworfen, durch seine dezentrale und anonym gestaltete Cross-Chain-Infrastruktur kriminellen Akteure, darunter auch nordkoreanischen Hackern, als Plattform zur Geldwäsche von gestohlenen digitalen Vermögenswerten zu dienen. Das erneute Sicherheitsversagen verschärft die Debatte um die Überwachung von dezentralen Krypto-Börsen.
Zehn Zeilen Code fehlten beim Verus-Brücken-Hack
Am darauffolgenden Sonntag traf ein zweiter schwerer Schlag das DeFi-Ökosystem. Das Brücken-Protokoll Verus, das den Austausch von Vermögenswerten zwischen verschiedenen Blockchain-Netzwerken ermöglicht, wurde ebenfalls kompromittiert. Blockchain-Analysten beziffern den Schaden bei diesem Vorfall auf mindestens 11,6 Millionen US-Dollar.
Die Krypto-Sicherheitsexperten des Unternehmens Blockaid legten in einer ersten Stellungnahme offen, dass die Angreifer eine fundamentale Schwachstelle bei der Verifizierung von Cross-Chain-Transaktionen ausnutzten. Besonders gravierend ist hierbei die Einschätzung der Analysten, dass das Ausnutzen dieser Lücke durch die Implementierung von lediglich etwa zehn Zeilen zusätzlichem Programmcode im Smart Contract hätte verhindert werden können. Das Verus-Netzwerk wurde nach dem Bemerken des Hacks komplett angehalten, während die internen Untersuchungen zur genauen Schadensfeststellung andauern.
Verus-Münze nach Hackerangriffe stabiler
Weitere technische Details zu dem Verus-Exploit wurden von den Cybersicherheitsexperten des Unternehmens GoPlus dokumentiert. Der Angreifer wählte ein präzises Verfahren, um den Verifizierungsmechanismus der Brücke zu umgehen. Zunächst transferierte der Täter eine Transaktion mit einem sehr geringen finanziellen Gegenwert an den Smart Contract der Blockchain-Brücke. Im Zuge dieser Transaktion rief er gezielt eine spezifische, im System hinterlegte Funktion mit der Kennung 0x8c49b257 auf.
Dieser gezielte Funktionsaufruf manipulierte das Protokoll derart, dass der Brücken-Vertrag die reservierten Krypto-Assets in großem Stil direkt an die Adresse des Angreifers (Drainer-Adresse) überwies. Die Experten von GoPlus führen den Erfolg dieses Angriffs auf eine Reihe von Schwachstellen zurück: Vermutet werden eine fehlerhafte Validierung von Cross-Chain-Nachrichten, eine Signaturfälschung, das vollständige Umgehen der Auszahlungslogik oder Mängel bei den Zugriffskontrollen (Access Control) des Vertrags. Im Gegensatz zu THORChain reagierte der Marktpreis der Verus-Münze weitaus stabiler. Nach einem kurzen Kurseinbruch am Sonntag erholte sich der Token im Laufe der Woche um etwa die Hälfte der Verluste, sodass der Wochenkurs nahezu unverändert blieb.
Warnung vor betrügerischen Rückerstattungs-Aktionen
Sowohl das Team von THORChain als auch die Verantwortlichen des Verus-Netzwerks traten nach den Vorfällen mit dringenden Warnungen an ihre Nutzergemeinschaften herbei. In beiden Fällen betonten die Entwickler, dass trotz des massiven Abflusses aus den Systemtresoren laut eigenen Angaben keine direkten Kundengelder entwendet wurden. Dennoch besteht für die Anwender akute Gefahr durch Sekundärbetrug.
Cyberkriminelle versuchen derzeit vermehrt, die Verunsicherung der Community auszusetzen, indem sie gefälschte Rückerstattungsprogramme (Refund Scams) im Internet und auf Social-Media-Kanälen verbreiten. Über manipulierte Webseiten und Phishing-Links versprechen die Betrüger eine Entschädigung für die Vorfälle. Nutzer, die ihre Krypto-Wallets mit diesen Applikationen verbinden, laufen Gefahr, ihre verbleibenden Vermögenswerte vollständig zu verlieren. Die Betreiber fordern die Anwender auf, ausschließlich offizielle Kommunikationskanäle zu nutzen und keine sensiblen Daten oder Wallet-Berechtigungen an unbekannte Adressen zu übermitteln.
