Am Freitagmorgen hat das Cross-Chain-Liquiditätsprotokoll THORChain sämtliche Handelsoperationen ausgesetzt, nachdem Blockchain-Sicherheitsforscher einen Angriff mit einem Schaden von über 10 Millionen Dollar entdeckt hatten. Der Angriff verteilte sich gleichzeitig auf vier separate Netzwerke. Der native Token RUNE verlor laut CoinGecko-Daten innerhalb weniger Stunden rund 10% und fiel auf etwa 0,52 Dollar.
Ein Angriff auf vier Blockchains gleichzeitig
In der Praxis: die ersten Spuren des Exploits wurden vom On-Chain-Forscher ZachXBT und der Sicherheitsfirma PeckShield aufgedeckt, wie Decrypt am 15. Mai berichtete. Die gestohlenen Mittel konzentrieren sich auf zwei Hauptadressen: eine auf Bitcoin, wo laut PeckShield 36,75 BTC (rund 3 Millionen Dollar) transferiert wurden, sowie eine auf EVM-Netzwerken mit geschätzten Verlusten von etwa 7 Millionen Dollar, verteilt auf Ethereum, BNB Smart Chain und Base. Das Protokoll-Team stoppte Handel und On-Chain-Signierung als sofortige Schutzmaßnahme, ohne bisher technische Details zur ausgenutzten Schwachstelle zu veröffentlichen.
Bemerkenswert ist nicht allein die Höhe des Schadens, der im Vergleich zu anderen jüngeren Vorfällen noch moderat wirkt. Was Sicherheitsexperten aufhorchen lässt, ist die Fähigkeit des Angreifers, Liquidität aus architektonisch völlig unterschiedlichen Chains gleichzeitig abzuziehen. Cross-Chain-Bridges bleiben der am häufigsten ausgenutzte Angriffsvektor im DeFi-Ökosystem: Die Komplexität der Bridging-Mechanismen schafft Angriffsflächen, die sich kaum vollständig auditieren lassen. Jedes Protokoll, das Multi-Chain-Liquidität verwaltet, vergrößert dieses systemische Risikofenster zwangsläufig.
Ein Protokoll mit schwieriger Vorgeschichte
THORChain erreicht diesen Exploit mit einer bereits belasteten Reputation. Im Januar 2025 hatte das Protokoll den ThorFi-Lending-Betrieb wegen unerfüllter Verbindlichkeiten in Höhe von 200 Millionen Dollar ausgesetzt und eine 90-tägige Restrukturierung eingeleitet. Im vergangenen September leerten Hacker, die ZachXBT nordkoreanischen Akteuren zuordnete, das persönliche Wallet von Gründer John-Paul Thorbjornsen um 1,2 Millionen Dollar. Dieser Vorfall erhöht die Aufmerksamkeit auf die strukturellen Schwachstellen des Protokolls zusätzlich.
Das sektorweite Umfeld gibt wenig Anlass zur Beruhigung. Nordkoreanische Hacker haben nach CertiK-Daten im Verlauf des Jahres 2025 insgesamt 2,1 Milliarden Dollar in Kryptowährungen gestohlen, was 60% aller in diesem Jahr verzeichneten Krypto-Diebstähle entspricht. Allein im Mai 2026 erlitt die DeFi-Plattform TrustedVolumes einen separaten Verlust von 6,7 Millionen Dollar. Die Angriffsserie zeichnet das Bild eines strukturell fragilen Cross-Chain-Sicherheitsumfelds. THORChain mit seinen hochliquiden Pools ist dabei ein besonders attraktives Ziel.
Der Weg zur Erholung hängt nun von der Transparenz des technischen Post-Mortems und der Fähigkeit des Teams ab, die Sicherheitslücke zu schließen, bevor andere Akteure sie ausnutzen. Ohne öffentliche Aufklärung über den Angriffsvektor bleibt das Vertrauen der Nutzer fragil, und mit ihm das Schicksal von RUNE an den Märkten. BaFin-regulierte Anleger, die RUNE über lizenzierte Plattformen wie Bitpanda halten, sollten die offizielle Stellungnahme des Protokolls zur Sicherheitslücke abwarten, bevor sie weitere Positionen eingehen.
