THORChain, Verus‑Bridge und Echo Protocol: Drei DeFi‑Exploits innerhalb von vier Tagen

Im Unterschied zu vielen DeFi‑Hacks betraf der Verlust Protokoll‑eigene Vermögenswerte, nicht direkt die Einlagen von Nutzern oder Liquiditätsanbietern.

Reaktion des Protokolls

• THORChain erkannte die ungewöhnliche Aktivität automatisch und unterbrach Handel und Signaturen, um weitere Abflüsse zu verhindern.
• Node‑Operatoren stoppten den sogenannten Vault‑Churn und überprüften ihre Infrastruktur.
• Ermittlungen konzentrierten sich auf einen neu hinzugefügten Node, der mit dem Angriff in Verbindung stehen könnte.

Der Vorfall belebte die Diskussion über die Sicherheit von MPC‑ bzw. TSS‑Wallet‑Systemen, die zwar Schlüsselkontrolle verteilen, aber stark von korrekter Implementierung und ehrlichen Nodes abhängen.

2. Verus–Ethereum‑Bridge‑Exploit — 18. Mai 2026

Geschätzter Schaden: etwa 11,58 Mio. USD.

Drei Tage später geriet die Cross‑Chain‑Bridge zwischen Verus und Ethereum ins Visier von Angreifern. Rund 11,5 bis 11,6 Millionen US‑Dollar wurden entwendet. Die gestohlenen Assets umfassten 103,6 tBTC, 1.625 ETH und etwa 147.000 USDC, die anschließend in ETH getauscht und in einer Wallet konsolidiert wurden.

Der Exploit basierte auf einer gefälschten Cross‑Chain‑Transfernachricht, die von der Bridge fälschlicherweise als gültig akzeptiert wurde.

Die Ursache lag in einer Validierungslücke zwischen den beiden Seiten der Bridge. Sowohl die Verus‑Chain als auch der Ethereum‑Smart‑Contract führten Prüfungen durch – jedoch verifizierte keine Seite zwingend, dass der eingezahlte Betrag tatsächlich dem auf der Ziel‑Chain ausgezahlten Betrag entsprach.

Dadurch konnte der Angreifer einen scheinbar gültigen Beweis übermitteln, obwohl kaum echter Wert auf der Quell‑Chain hinterlegt war.

Reaktion des Protokolls

• Sicherheitsfirmen wie Blockaid und PeckShield meldeten den Angriff nahezu in Echtzeit.
• Bridge‑Nodes und relevante Dienste wurden vorübergehend gestoppt, während Entwickler die Ursache untersuchten.
• Updates zur Stärkung der Cross‑Chain‑Validierungslogik wurden vorbereitet.

Der Vorfall erinnert an frühere Bridge‑Angriffe wie Wormhole oder Nomad und bestätigt erneut, dass Bridges zu den riskantesten Komponenten der DeFi‑Infrastruktur gehören.

3. Echo‑Protocol‑Exploit — Berichte vom 18.–19. Mai

Theoretische Exposition: etwa 76,6–76,7 Mio. USD in unautorisiert geprägten eBTC.
Tatsächlicher Schaden: etwa 816.000 USD.

Echo Protocol, eine Bitcoin‑orientierte DeFi‑Plattform auf der Monad‑Blockchain, wurde kompromittiert, nachdem ein Angreifer Zugriff auf einen administrativen Private Key der eBTC‑Minting‑Contracts erlangte.

Mit diesen Admin‑Rechten konnte der Angreifer rund 1.000 nicht autorisierte eBTC erzeugen – synthetisches Bitcoin im Gegenwert von rund 76–77 Millionen US‑Dollar.

Die tatsächliche Auszahlung blieb jedoch deutlich geringer, weil die Liquidität im Ökosystem begrenzt war.

On‑Chain‑Analysen zeigen folgenden Ablauf:

• 45 eBTC wurden als Sicherheit im Lending‑Protokoll Curvance hinterlegt.
• Daraufhin wurden etwa 11,29 WBTC geliehen.
• Die geliehenen Assets wurden nach Ethereum gebrückt und in ETH getauscht.
• Etwa 384 ETH wurden über Tornado Cash gemischt.

Schätzungen zufolge lag der tatsächliche finanzielle Schaden bei rund 816.000 US‑Dollar, da der Großteil der neu erzeugten Tokens nie erfolgreich ausgecasht werden konnte.

Reaktion des Protokolls

• Echo Protocol pausierte alle Cross‑Chain‑Transaktionen während der Untersuchung.
• Das Team gewann die Kontrolle über den kompromittierten Admin‑Key zurück.
• 955 eBTC, die sich noch in der Angreifer‑Wallet befanden, wurden anschließend verbrannt.
• Curvance stoppte vorübergehend den betroffenen Kreditmarkt.

Der Vorfall machte deutlich, wie riskant Systeme sein können, die sich auf einzelne Admin‑Schlüssel ohne Multisig‑ oder Timelock‑Mechanismen verlassen.

Was diese drei Angriffe über DeFi‑Sicherheit im Jahr 2026 zeigen

Zusammen offenbaren die Vorfälle strukturelle Schwächen in mehreren Ebenen der DeFi‑Infrastruktur.

1. Cross‑Chain‑Bridges bleiben ein zentrales Angriffsziel

Der Verus‑Exploit zeigt, wie empfindlich Cross‑Chain‑Validierung ist. Wenn eine Bridge nicht strikt prüft, dass ein Ereignis auf der Quell‑Chain tatsächlich stattgefunden hat und mit der Auszahlung übereinstimmt, können Angreifer scheinbar gültige Beweise erzeugen und Reserven abziehen.

Da Bridges oft große Liquiditätspools halten, zählen sie seit Jahren zu den größten Verlustquellen im Kryptosektor.

2. Verteilte Signatursysteme bringen neue Risiken

THORChain nutzt Threshold‑Signaturen und Multi‑Party‑Computation, um zu verhindern, dass ein einzelner Node Zugriff auf Vault‑Funds hat. Der Angriff zeigte jedoch, dass Probleme bei Node‑Admission, Validator‑Koordination oder der TSS‑Implementierung dennoch die Signatur‑Schicht kompromittieren können.

Dezentrale Verwahrung reduziert zwar das Risiko einzelner Schlüssel – schafft aber neue Angriffsflächen in der Koordination verteilter Teilnehmer.

3. Admin‑Keys bleiben eine systemische Schwachstelle

Der Echo‑Exploit verdeutlichte die Risiken zentraler Administratorrechte. Ein kompromittierter Schlüssel reichte aus, um sofort Vermögenswerte im zweistelligen Millionenbereich zu erzeugen.

Selbst wenn der Schaden später begrenzt wird, kann privilegierter Zugriff Märkte innerhalb von Minuten destabilisieren.

4. Notfall‑Intervention bleibt entscheidend

Alle drei Protokolle mussten schnell eingreifen:

• Netzwerk‑ und Signaturstopps bei THORChain
• Abschalten der Bridge‑Nodes bei Verus
• Marktpausen, Schlüsselrückgewinnung und Token‑Burns bei Echo

Diese Maßnahmen verhinderten größere Verluste, zeigen aber auch eine Realität vieler DeFi‑Systeme: In Krisenfällen sind schnelle, oft zentral koordinierte Eingriffe weiterhin notwendig.

Das größere Bild

Die Exploit‑Serie im Mai 2026 zeigt, dass DeFi‑Sicherheit längst nicht mehr nur eine Frage von Smart‑Contract‑Bugs ist.

Die kritischsten Schwachstellen entstehen zunehmend in der operativen Infrastruktur:

• Cross‑Chain‑Nachrichten‑Validierung
• Validator‑ und Signer‑Koordination
• Verwaltung privilegierter Schlüssel
• Governance‑ und Notfallmechanismen

Mit der Ausbreitung von DeFi über mehrere Blockchains hinweg verlagern sich die größten Risiken immer stärker auf diese infrastrukturellen Ebenen – und weniger auf den eigentlichen Smart‑Contract‑Code.