Drei Exploits in fünf Tagen, und 23 Millionen Dollar verschwunden. THORChain am 15. Mai, Verus Bridge am 18., Echo Protocol am 19. Der Monat ist noch nicht vorbei.
Security Incident Report
- Protokoll THORChain
- Entwendeter Betrag $10.800.000
- Chain BTC · ETH · BNB · Base
- Datum 15. Mai 2026, 09:45 UTC
- RUNE -15% in wenigen Minuten
- Angriffsvektor Schwachstelle im GG20 TSS. Ein manipulierter Knoten extrahierte über mehrere Tage kryptografische Schlüsselfragmente aus normalen Signiervorgängen, rekonstruierte schließlich den vollständigen privaten Schlüssel eines Asgard-Vaults und signierte unautorisierte Transaktionen.
- Protokollreaktion Befehl „make pause“ bei Block 26190429. Handel, Swaps, LP-Aktionen und Signiervorgänge ausgesetzt. Nutzerfonds nicht kompromittiert. THORSec, Chainalysis und Strafverfolgungsbehörden eingeschaltet.
Quelle: TRM Labs, Chainalysis, ZachXBT, PeckShield · 15.-16. Mai 2026
Quelle: TRM Labs, Chainalysis, ZachXBT, PeckShield · 15.-16. Mai 2026
THORChain: Der GG20-TSS-Angriff im Detail
De facto: am 15. Mai um 09:45 UTC veröffentlichte ZachXBT auf Telegram eine Warnung: anomale Abflüsse aus den Asgard-Vaults von THORChain, dem führenden dezentralen Cross-Chain-Exchange. Die erste Schätzung lag laut ZachXBT bei 7,4 Millionen Dollar. Zwei Stunden später hatte der Schaden 10,8 Millionen Dollar erreicht. Der Angriff traf Bitcoin, Ethereum, BNB Chain und Base gleichzeitig, und der native Token RUNE verlor in wenigen Minuten 15 Prozent seines Wertes, von 0,58 auf rund 0,50 Dollar. Der automatische Pausemechanismus begrenzte den Schaden auf einen der sechs aktiven Asgard-Vaults. Nutzerfonds blieben sicher.
Der Angriffsvektor ist technisch raffiniert. Ein Validator verhielt sich über mehrere Tage lang unauffällig und sammelte dabei kryptografische Fragmentdaten aus den regulären Signierzeremonien des GG20-TSS-Protokolls. Mit genügend extrahierten Fragmenten rekonstruierte er den vollständigen privaten Schlüssel eines Asgard-Vaults und signierte Auszahlungstransaktionen, als wäre er durch den gesamten Netzwerkkonsens legitimiert. Der kompromittierte Knoten, identifiziert als thor16ucjv3v695mq283me7esh0wdhajjalengcn84q, war erst wenige Tage vor dem Angriff dem aktiven Validator-Set beigetreten.
Chainalysis rekonstruierte laut eigener Analyse wochenlange Vorbereitungen: Operationen über Monero, Hyperliquid und Arbitrum, abgeschlossen durch eine Überweisung von 8 ETH an die Angriffs-Wallet exakt 43 Minuten vor dem Abfluss. Eine bereits bekannte Signatur: Beim Kelp-DAO-Exploit im April wurden über $292 Millionen auf ähnliche Weise vorbereitet, wobei die Lazarus Group nach Erkenntnissen von Chainalysis rund $175 Millionen in gestohlenen ETH innerhalb von 36 Stunden durch THORChain selbst verschoben hatte. Die Aave-Krise nach Kelp wurde am 18. Mai geschlossen, dem selben Tag, an dem der zweite Angriff dieser Woche begann.
Security Incident Report
- Protokoll Verus-Ethereum Bridge
- Entwendeter Betrag $11.580.000
- Abgezogene Assets 103,6 tBTC · 1.625 ETH · 147K USDC
- Datum 18. Mai 2026
- Angreifer-Wallet 0x65Cb…C25F9
- Angriffsvektor Technischer Vektor zum 19. Mai 2026 noch in Analyse. Die Wallet wurde rund 14 Stunden zuvor mit 1 ETH über Tornado Cash vorfinanziert. Die Mittel wurden in 5.402,4 ETH umgewandelt und verblieben in der Wallet.
- Protokollreaktion Echtzeit-Meldung durch Blockaid. Zum Veröffentlichungszeitpunkt kein vollständiges technisches Statement vom Verus-Team.
Quelle: Blockaid, PeckShield · 18. Mai 2026
Quelle: Blockaid, PeckShield · 18. Mai 2026
Verus Bridge: 11,58 Millionen Dollar in Minuten abgeflossen
Drei Tage nach THORChain. Kein Innehalten. Blockaid meldete den Exploit auf der Verus-Ethereum Bridge noch während er ablief: Der Angreifer hatte bereits 103,6 tBTC, 1.625 ETH und 147.000 USDC abgezogen, bevor irgendjemand eingreifen konnte, und alles in 5.402,4 ETH umgewandelt. Die Ziel-Wallet 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9 war laut PeckShield-Daten am 19. Mai noch aktiv. Die Vorfinanzierung über Tornado Cash 14 Stunden zuvor spricht eine klare Sprache: geplante Operation, keine Gelegenheitstat. Das Muster wurde bereits beim Drift-Protocol-Exploit im April dokumentiert, wo Angriffs-Wallets mit denselben Werkzeugen Wochen im Voraus vorbereitet worden waren. Der spezifische technische Angriffsvektor bei Verus befindet sich noch in der Analyse.
Security Incident Report
- Protokoll Echo Protocol (Monad)
- Tatsächlicher Schaden $816.000
- Geprägte eBTC (Nominalwert) 1.000 eBTC ($76,7M)
- Datum 18.-19. Mai 2026, 22:55 UTC
- ETH an Tornado Cash 384 ETH ($821.700)
- Angriffsvektor Kompromittierter Admin-Key: einzelne EOA ohne Multisig, ohne Timelock, ohne Ausgabelimit. Der Angreifer prägte 1.000 eBTC, nutzte 45 davon als Sicherheit auf Curvance, lieh sich 11,29 WBTC und schickte 384 ETH an Tornado Cash.
- Protokollreaktion Echo stellt Admin-Keys wieder her und verbrennt die verbleibenden 955 eBTC. Cross-Chain-Operationen ausgesetzt. Curvance pausiert den eBTC-Markt. Monad-Mitgründer Keone Hon bestätigte: das Netzwerk selbst ist nicht kompromittiert.
Quelle: PeckShield, dcfgod, Blockaid, Keone Hon (@keoneHD) · 18.-19. Mai 2026
Quelle: PeckShield, dcfgod, Blockaid, Keone Hon (@keoneHD auf X) · 18.-19. Mai 2026
Echo Protocol: Wenn ein einziger Schlüssel alles entscheidet
Am Abend des 18. Mai veröffentlichte der On-Chain-Analyst dcfgod einen Post auf X. Jemand hatte auf Echo Protocol, dem auf Monad basierenden Protokoll, 1.000 eBTC aus dem Nichts geprägt. Nominalwert: 76,7 Millionen Dollar. Tatsächlicher Schaden: 816.000 Dollar. Die Lücke zwischen diesen beiden Zahlen erklärt den Angriff: Der Angreifer verfügte über Admin-Schlüssel mit unbegrenzten Ausgabebefugnissen, keinen Multisig-Schutz und kein Timelock. Er nutzte 45 eBTC als Sicherheit auf Curvance, zog 11,29 WBTC ab, transferierte die Mittel auf Ethereum und schickte 384 ETH an Tornado Cash. Alles in wenigen Stunden.
Die verbleibenden 955 eBTC lagen unverwendbar in der Wallet des Angreifers: Im Monad-Netzwerk war schlicht keine ausreichende Liquidität vorhanden, um sie in realen Wert umzuwandeln. Echo verbrannte sie. Monad-Mitgründer Keone Hon bestätigte in einem Post auf X, dass das Netzwerk selbst nicht beeinträchtigt wurde.
SlowMist-Gründer Yu Xian benannte das eigentliche Problem in einem Kommentar nach dem Vorfall: Ein einziger Kontrollpunkt mit absoluten Ausgabebefugnissen ist keine isolierte Fehler, sondern eine systemische Schwachstelle by design. Das Muster gleicht Dutzenden früherer Cross-Chain-Bridge-Exploits.
Kerndaten
- THORChain (15. Mai) $10.800.000
- Verus Bridge (18. Mai) $11.580.000
- Echo Protocol (19. Mai) $816.000
- Echo Protocol, geprägte eBTC (Nominalwert) $76.700.000 (nicht liquidierbar)
- Gesamtschaden (3 Exploits, 5 Tage) $23.196.000
- DeFi-Exploits gesamt im Mai 2026 14 (Quelle: DefiLlama)
Quelle: TRM Labs, Blockaid, PeckShield, Keone Hon, DefiLlama · 15.-19. Mai 2026
Quelle: TRM Labs, Blockaid, PeckShield, Keone Hon, DefiLlama · 15.-19. Mai 2026
Wie Hacker Kryptowährungen aus DeFi-Bridges stehlen
Die drei Angriffe dieser Woche weisen unterschiedliche technische Vektoren auf, teilen aber eine gemeinsame Grundstruktur. Die Bridge ist der Einstiegspunkt, nicht weil sie zwingend das schwächste Glied ist, sondern weil sie den größten Wert im Transit zwischen verschiedenen Chains konzentriert, oft mit weniger Redundanz als Core-Protokolle sich leisten.
Bei THORChain nutzte der Angreifer eine kryptografische Schwachstelle im GG20-TSS aus: Er stahl den Schlüssel nicht, sondern rekonstruierte ihn Stück für Stück aus legitimen Netzwerkoperationen. Mit dem zusammengesetzten Schlüssel signierte er Transaktionen wie ein authentischer Validator. Kein Alert, bis die On-Chain-Bewegungen bereits sichtbar waren.
Bei Verus Bridge ist der Vektor noch in Analyse, aber die Vorfinanzierung über Tornado Cash 14 Stunden zuvor deutet auf eine sorgfältig geplante Operation hin. Bei Echo Protocol war die Schwachstelle nicht kryptografischer Natur: Ein Admin-Key ohne jede Schutzmaßnahme und mit unbegrenzter Ausgabeberechtigung war die einzige Hürde zwischen dem Protokoll und jedem, der Zugang hatte.
Der Schadensverstärkungsmechanismus folgt dann immer demselben Muster. Synthetische oder wrapped Token, die von einer Bridge ausgegeben werden, werden von benachbarten Lending-Protokollen als Sicherheit akzeptiert. Wert wird aus dem Nichts geschaffen, realer Wert geliehen, und der Angreifer verlässt das System, bevor die Mechanismen reagieren. Es ist das Muster, das den Kelp-DAO-Bridge im April für $292 Millionen zerstört hat. Vorher hatte es mit ähnlicher Dynamik Drift Protocol für $285 Millionen getroffen. Die DeFi-Komposabilität ist ihre Stärke. In diesen Szenarien ist sie auch der effizienteste Zerstörungshebel.
Laut DefiLlama zählt der Mai 2026 bereits 14 Sicherheitsvorfälle bei DeFi-Protokollen, und der 19. des Monats war noch nicht vollständig vorbei. Der April hatte sich auf insgesamt $651 Millionen summiert, wobei Kelp und Drift allein 91 Prozent des Schadens verursacht hatten. Die Aufmerksamkeit richtet sich nun auf zwei konkrete Punkte. Erstens: die Zuordnung des THORChain-Exploits. TRM Labs hat die Verantwortung bislang keinem Akteur zugewiesen.
Sollte eine Beteiligung der Lazarus Group nachgewiesen werden, wie bereits für Kelp und Drift dokumentiert, würden die nordkoreanischen Krypto-Diebstähle für 2026 jeden bisherigen Jahreswert übertreffen, bei noch vier verbleibenden Monaten. Zweitens: die Community-Abstimmung bei THORChain zur Schadensregulierung, erwartet bis zum 22. oder 23. Mai, zwischen dem Slashing der Bond-Einlagen des kompromittierten Knotens und der Deckung durch Protocol-Owned Liquidity. RUNE hatte in wenigen Stunden bereits 15 Prozent verloren.
Was die Community in den nächsten Tagen beschließt, wird zeigen, ob DeFi in der Lage ist, sich selbst regulatorische Strukturen zu geben, ohne darauf zu warten, dass externe Stellen wie die BaFin eingreifen. Alle Updates zu den Mai-Exploits werden in der Hack-Rubrik von SpazioCrypto gesammelt.
