Die 3 größten Sicherheitsvorfälle im Mai
Die bedeutendsten Verluste im Mai waren nicht auf Schwachstellen in Smart Contracts zurückzuführen, sondern auf Fehler bei Vertrauensgrenzen (Trust Boundaries), darunter die Kompromittierung privater Schlüssel, Fehler bei der Cross-Chain-Validierung sowie Mängel bei der operativen Sicherheit rund um die Mint-Autorität und Bridge-Semantik.
Dieses Muster erinnert uns daran, dass Web3-Sicherheit weit über den Code von Smart Contracts hinausgeht. Jedes System bindet über seinen gesamten Lebenszyklus hinweg Vertrauensannahmen ein. Wenn eine dieser Annahmen bricht, wird sie zum schwächsten Glied – und ist oft das Einzige, was ein Angreifer benötigt.
Echo Protocol: ~$76,7 Mio.
Am 19. Mai 2026 erlitt das eBTC-Deployment von Echo Protocol auf Monad einen schwerwiegenden Sicherheitsvorfall. Basierend auf dem gekoppelten Wert des geminteten eBTC zum Zeitpunkt der Ausnutzung wurde der Verlust auf etwa 76,7 Millionen US-Dollar geschätzt.
Die Grundursache war ein kompromittierter Administrator-Schlüssel und keine konventionelle Schwachstelle in der Smart-Contract-Logik. Nachdem der Angreifer die privilegierte Kontrolle erlangt hatte, mintete er etwa 1.000 ungedeckte eBTC, ohne die entsprechende Sicherheit zu hinterlegen. Da eBTC darauf ausgelegt war, den Wert von BTC abzubilden, führte das unautorisierte Minting sofort zu einem massiven theoretischen Exposure. Der Angreifer verschob daraufhin einen Teil des gefälschten Angebots in nachgelagerte Protokolle, wodurch der Vorfall zu einem risikoreichen Ereignis für protokollübergreifende Systeme wurde.
Dieser Fall verdeutlicht, dass für Systeme mit synthetischen oder gewrappten Assets die entscheidende Sicherheitsgrenze nicht nur die Korrektheit des Vertrags ist, sondern auch, ob die Mint-Autorität zu stark in einem einzelnen privilegierten Schlüssel konzentriert ist. Sobald dieser Vertrauensanker kompromittiert ist, kann der Angreifer das beabsichtigte Besicherungsmodell vollständig umgehen.
Die offizielle Bekanntmachung lesen
StablR: ~$12,8 Mio.
Am 24. Mai 2026 erlitt das Stablecoin-System von StablR einen Sicherheitsverstoß, bei dem etwa 12,8 Millionen US-Dollar durch unautorisierte Token-Ausgabe entwendet wurden.
Basierend auf öffentlichen Berichten schien es sich primär um eine Kompromittierung der Infrastruktur oder des Schlüsselmanagements zu handeln und nicht um einen konventionellen Smart-Contract-Exploit. Der Angreifer erlangte die Kontrolle über die Multisig-basierte Minting-Autorität und war anschließend in der Lage, Eigentümerrollen zu ersetzen oder zu übernehmen, was das unautorisierte Minting von USDR und EURR ermöglichte. Obwohl die realisierten On-Chain-Erlöse des Angreifers niedriger waren als der volle theoretische Wert der illegal geminteten Token, löste der Vorfall dennoch ein De-Pegging aus und deckte Schwächen bei der Isolierung der Mint-Autorität, der Sicherheit der Unterzeichner und dem Multisig-Governance-Design auf.
Für Stablecoin-Protokolle ist diese Art von Vorfall besonders schwerwiegend, da der Angreifer die Tresorreserven nicht direkt leeren muss. Wenn ein unautorisiertes Minting möglich ist, kann das Marktvertrauen in die Einlösbarkeit sofort zusammenbrechen, was zum Scheitern der Bindung (Peg) und einem schnellen Liquiditätsverlust führen kann.
Verus: ~$11,7 Mio.
Am 18. Mai 2026 wurde die Verus-Ethereum-Bridge für etwa 11,7 Millionen US-Dollar angegriffen, was ETH, tBTC und USDC betraf. Zum 23. Mai 2026 waren etwa 75 % der gestohlenen Gelder zurückgegeben worden.
Die Ursache war ein Typvalidierungsfehler im Importpfad auf der Ethereum-Seite. Die Verus-Ethereum-Bridge ist so konzipiert, dass sie Assets auf Ethereum freigibt, nachdem nachgewiesen wurde, dass ein qualifizierendes Export-Objekt auf Verus unter einem notariell beglaubigten Status existiert. Die fehlerhafte Logik überprüfte jedoch nur, dass irgendein Objekt auf Verus-Seite existierte, und stellte nicht sicher, dass das nachgewiesene Objekt tatsächlich ein gültiger primärer Export war, der für die Auszahlungsverarbeitung vorgesehen ist. Infolgedessen konnte der Angreifer einen leeren Export auf Verus erstellen, der einen manuell angefertigten zusätzlichen Export-Output enthielt, dieses Objekt dann auf Ethereum nachweisen und die Bridge dazu bringen, es als normalen werttragenden Export falsch zu klassifizieren.
Der Angreifer lieferte daraufhin serializedTransfers, die mit dem eingebetteten Transfer-Hash-Commitment übereinstimmten, wodurch der betrügerische Import die Prüfungen auf Ethereum-Seite bestehen und die Asset-Freigabe der Bridge auslösen konnte. Dieser Vorfall zeigt, dass die Bridge-Sicherheit nicht nur von der Verifizierung kryptografischer Beweise abhängt, sondern auch von einer strengen Validierung von Objekttyp, Status, Flags, Kodierungsgrenzen und Ausführungssemantik. Wenn ein Protokoll nur beweist, dass ein Objekt existiert, aber nicht, dass es das korrekte Objekt für die beabsichtigte Aktion ist, kann selbst ein gültiger Beweis missbraucht werden, um ungültige Auszahlungen zu autorisieren.
Das offizielle Post-Mortem lesen
Die oben genannten Informationen basieren auf Daten mit Stand vom 1. Juni 2026, 00:00 Uhr UTC.
Dies schließt den Bericht über die Sicherheitsvorfälle im April ab. Für eine eingehendere Analyse von Blockchain-Sicherheitsvorfällen und Web3-Sicherheitstrends können Sie unsere Ressourcen erkunden.
Mehr erfahren Sie in unserer Bibliothek für Sicherheitsvorfälle (Security Incidents Library).
Bleiben Sie informiert und sicher!
