DxSale-Hack: 7,3 Mio. $ nach 269 Tagen geplant – Sind Zombie-Verträge DeFis größte Zeitbombe?

Ein langfristiger Plan: 269 Tage Vorbereitung

Was diesen Hack von einem typischen Gelegenheitsdiebstahl unterscheidet, ist das Ausmaß der akribischen Langzeitplanung. Die Analyse der Blockchain-Daten zeigt, dass der Angreifer den Grundstein fast neun Monate vor dem eigentlichen Abfluss der Gelder gelegt hatte.

• August 2025: Der Besitz des kritischen alten Tresor-Vertrags (Legacy Locker) wurde auf eine Adresse übertragen, die heute vom Angreifer kontrolliert wird .
• 28./29. Mai 2026: Ungefähr 269 Tage später wurde der eigentliche Geldabfluss ausgeführt .

Dieses heimliche Positionieren deutet stark auf eine wohldurchdachte Planung hin und nicht auf einen spontanen Einbruch. Blockchain-Analysten und Sicherheitsfirmen wie PeckShield und SlowMist haben festgestellt, dass die Effizienz des Angriffs auf ein tiefes, möglicherweise internes Wissen über die spezifische, veraltete Architektur der DxSale-Verträge schließen lässt .

Eine Geschichte ignorierter Warnungen

Der Exploit von 2026 kam nicht ohne vorherige rote Flaggen. Bereits im Juni 2025 hatte die Blockchain-Sicherheitsfirma Decurity einen schwerwiegenden Fehler in einem anderen DxSale-Smart-Vertrag auf der BNB Chain öffentlich gemacht, der zu diesem Zeitpunkt Nutzergelder in Höhe von mindestens 5,2 Millionen Dollar gefährdete. Für das Aufspüren und verantwortungsvolle Melden dieser Schwachstelle, die einen millionenschweren Verlust hätte verursachen können, wurde Decurity Berichten zufolge eine Prämie von nur 500 US-Dollar angeboten – ein Betrag, der so lächerlich gering war, dass er branchenweit Schlagzeilen machte und scharf kritisiert wurde .

Während dieser spezifische Fehler später behoben wurde, offenbarte der Vorfall ein Muster der Vernachlässigung der eigenen Sicherheitsinfrastruktur. Dieses Muster schien anzuhalten und gipfelte ein Jahr später in dem weitaus verheerenderen Angriff auf die alten Tresorverträge.

Die Geldwäsche: Zerstückelung und Verschleierung

Nachdem er die Kontrolle über die Liquiditäts-Token erlangt hatte, handelte der Angreifer schnell, um die Spur des gestohlenen Vermögens zu verwischen. Die Hauptadresse des Angreifers, 0xC4574DDEF299e7E563971e200433e592EeaaFA69, verfolgte eine mehrstufige Strategie zur Verschleierung der Vermögenswerte .

1. Token-Tausch: Die gestohlenen Liquiditäts-Token wurden sofort in BNB, die native Kryptowährung der BNB Chain, umgewandelt, um die digitale Geldverfolgung zu erschweren .
2. Bündelung und Aufspaltung: Ungefähr 2.958 BNB, damals im Wert von etwa 1,87 Millionen Dollar, wurden von der Hauptadresse auf zwei zwischengeschaltete digitale Geldbörsen transferiert .
3. Verteilung: Die Gelder von diesen Geldbörsen wurden dann auf mehrere Einzahlungsadressen aufgefächert. Diese Technik dient dazu, die Spur des Geldes weiter zu fragmentieren und Rückholungsversuche zu erschweren . Erste Berichte erwähnten auch den Einsatz von Cross-Chain-Diensten wie AnySwap bei diesem Prozess, um Gelder über verschiedene Blockchains zu verschieben .

Das große Ganze: 2026 – Ein brutales Jahr für DeFi

Der DxSale-Vorfall ist kein Einzelfall, sondern Teil einer verheerenden Welle von Kryptokriminalität im Jahr 2026. Das Jahr steuert auf einen der schlimmsten Rekorde in puncto Blockchain-Sicherheit zu.

• Ein trügerisches erstes Quartal: Im ersten Quartal 2026 verloren DeFi-Protokolle bei 34 Exploits circa 168 bis 169 Millionen Dollar. Obwohl dies ein Rückgang um 89 % gegenüber den atemberaubenden 1,58 Milliarden Dollar Verlust aus Q1 2025 war – einer Zahl, die massiv vom 1,4-Milliarden-Dollar-Hack der Kryptobörse Bybit aufgebläht wurde –, warnten Sicherheitsexperten, dass die Bedrohung noch lange nicht vorbei sei .
• Ein rekordverdächtiger April: Diese Warnungen bewahrheiteten sich prompt. Der April 2026 wurde mit über 606 Millionen Dollar gestohlenen Geldern allein aus DeFi-Protokollen zum Monat mit den höchsten Hacking-Schäden in der gesamten Kryptogeschichte. Dies löste innerhalb von nur 48 Stunden eine massive Kapitalflucht von 13 Milliarden Dollar (Total Value Locked, TVL) aus dem DeFi-Ökosystem aus .
• Eskalierende Verluste im Jahresverlauf: Bis Ende Mai 2026 hatten die Gesamtverluste durch Krypto-Hacks und Exploits bereits die Marke von 1,1 Milliarden Dollar in 185 Vorfällen überschritten. Davon entfielen etwa 816,9 Millionen Dollar auf DeFi- und Cross-Chain-Brücken-Exploits .
• Staatlich gesponserte Bedrohung: Ein erheblicher Teil des Schadens wird nordkoreanischen Hacker-Gruppierungen zugeschrieben. Diese waren bis April 2026 für 76 % aller Verluste aus Krypto-Hacks verantwortlich und erbeuteten dabei allein in wenigen großen Angriffen rund 577 Millionen Dollar .

Der DxSale-Exploit ist, obwohl nicht der größte Verstoß des Jahres, ein Paradebeispiel für einen wachsenden Bedrohungsvektor. Während der DeFi-Sektor expandiert, wächst auch der Friedhof alter, nicht geprüfter und nicht gewarteter „Zombie-Verträge“. Diese Verträge enthalten nach wie vor Administrator-Schlüssel, die, wenn sie kompromittiert oder – wie in diesem Fall – heimlich übertragen werden, Angreifern einen direkten Zugang zu allen darin gesperrten Geldern bieten. Der Vorfall ist eine kritische Erinnerung daran, dass „gesperrte Liquidität“ immer nur so sicher ist wie der Code und die Schlüssel, die das Schloss selbst kontrollieren.