Back to Blog

Newsletter - April 2026

Code Auditing
April 30, 2026
4 min read
Key Insights

Top 3 DeFi-Vorfälle im April

KelpDAO: ca. 290 Mio. $

Am 18. April 2026 wurde die rsETH LayerZero OFT-Bridge von KelpDAO für etwa 290 Millionen US-Dollar ausgenutzt.

Die Hauptursache war die unsichere 1-von-1 DVN-Konfiguration von KelpDAO, die die Überprüfung von Cross-Chain-Nachrichten auf einen einzigen Fehlerpunkt reduzierte. Nach der Kompromittierung der RPC-Infrastruktur, der von der LayerZero Labs DVN vertraut wurde, zwang der Angreifer den einzigen Verifizierer, eine gefälschte Cross-Chain-Nachricht zu bestätigen. Infolgedessen wurden 116.500 rsETH auf Ethereum freigegeben, ohne dass ein entsprechendes Quellereignis auf Unichain stattfand.

Dieser Vorfall wurde nicht durch einen Fehler im LayerZero-Protokoll selbst verursacht, sondern durch ein breiteres operationelles Sicherheitsversagen, das die Brückenkonfiguration und die Vertrauensannahmen der Infrastruktur umfasste. Da KelpDAO sich nur auf eine DVN verließ, gab es keinen unabhängigen Verifizierer, der die gefälschte Nachricht anfechten konnte. Gleichzeitig vergiftete der Angreifer die von dieser DVN genutzten RPC-Knoten und führte eine DDoS-Attacke auf die verbleibenden gesunden Knoten durch, wodurch der Verifizierer in einen Failover-Zustand gezwungen wurde, in dem er vollständig von Angreifer-kontrollierten Daten abhing. Sobald die gefälschte Nachricht bestätigt war, wurde der rsETH-Adapter auf der Ethereum-Seite wie vorgesehen ausgeführt und gab die Gelder frei, die dann schnell über mehrere Wallets und Ketten verteilt und gewaschen wurden.

Dieser Vorfall unterstreicht, dass die Sicherheit von Brücken nicht allein auf die Korrektheit des Protokolls vertrauen kann. Projekte sollten Multi-DVN-Konfigurationen mit unabhängigen Verifizierern anwenden, plötzliche Ausfälle von RPC-Knoten während der Verifizierung als Angriffssignale und nicht als routinemäßige Verfügbarkeitsprobleme behandeln und die Infrastruktur härten, die Daten von der Quellkette an Verifizierungsnetzwerke liefert.

Für eine detaillierte Analyse lesen Sie unseren ausführlichen Beitrag:

https://blocksec.com/blog/the-decentralization-dilemma-cascading-risk-and-emergency-power-in-the-kelp-dao-crisis

Drift Protocol: ca. 285 Mio. $

Am 1. April 2026 wurde Drift Protocol auf Solana für etwa 285 Millionen US-Dollar ausgenutzt.

Die Hauptursache war keine Schwachstelle in den Smart Contracts, sondern ein Versagen des Governance- und Autorisierungsprozesses des Protokolls. Zu diesem Zeitpunkt verwendete Drift eine 2-von-5 Multisig-Konfiguration für Aktionen mit hohen Privilegien, was bedeutete, dass jeder von fünf autorisierten Unterzeichnern kritische administrative Änderungen genehmigen konnte. Diese Aktionen unterlagen auch keiner Sperrfrist. Sobald genügend Genehmigungen gesammelt waren, konnten sie sofort ausgeführt werden. Dieses Risiko wurde durch den langlebigen Nonce-Mechanismus von Solana verschärft, der es vorkompilierte Transaktionen ermöglichte, lange gültig zu bleiben, anstatt wie normale Transaktionen schnell abzulaufen. Dies gab dem Angreifer Zeit, bösartige Signaturen im Voraus zu sammeln und auf den richtigen Moment zu warten, um sie zu verwenden. Nachdem zwei der fünf Unterzeichner dazu gebracht wurden, bösartige Governance-Transaktionen zu genehmigen, reichte der Angreifer diese Transaktionen später ein, um die administrative Kontrolle über das Protokoll zu übernehmen. Mit diesem Zugriff listete der Angreifer einen gefälschten Sicherheiten-Asset namens CarbonVote Token (CVT), manipulierte dessen Orakelpreis, lockerte die Abhebungsbeschränkungen und nutzte die gefälschten Sicherheiten, um große Mengen echter Assets über die Drift Vault abzuziehen.

Dieser Vorfall deckte drei Hauptschwächen im Governance-Design von Drift auf. Erstens konnte der Angreifer die Signaturerfassung von der Ausführung trennen, da die gestohlenen Genehmigungen nicht schnell abliefen. Zweitens bedeutete das Fehlen einer Sperrfrist, dass die Übernahme der Administratorrechte sofort wirksam wurde, was kaum Zeit für Erkennung oder Intervention ließ. Drittens war die Administratorrolle zu mächtig: Sobald sie kompromittiert war, erlaubte sie dem Angreifer, einen neuen Sicherheitenmarkt zu schaffen, Orakel-Einstellungen zu ändern und Abhebungsbeschränkungen zu lockern, was alles direkt den Diebstahl ermöglichte.

Dieser Vorfall zeigt, dass die Governance-Sicherheit nicht nur den Schutz privater Schlüssel betrifft. Protokolle müssen auch den gesamten Signatur- und Genehmigungsprozess sichern, Aktionen mit hohen Privilegien verzögern, die Verwendung von langlebigen, vorkompilierten Transaktionen einschränken und den Umfang dessen, was eine einzelne Administratorübernahme bewirken kann, reduzieren.

Für eine detaillierte Analyse lesen Sie unseren ausführlichen Beitrag:

https://blocksec.com/blog/drift-protocol-incident-multisig-governance-compromise-via-durable-nonce-exploitation

Rhea Finance: ca. 18,4 Mio. $

Am 16. April 2026 wurde das Burrowland-Protokoll von Rhea Finance auf NEAR aufgrund eines Geschäftslogikfehlers in seinem Margin-Trading-Modul für etwa 18,4 Millionen US-Dollar ausgenutzt. Bemerkenswerterweise wurden bis zum 23. April 2026 alle gestohlenen Gelder wiedererlangt.

Die Hauptursache war, dass das Protokoll eine vom Benutzer angegebene Swap-Output-Erklärung so behandelte, als ob sie die tatsächlich vom DEX zurückgegebene Menge genau wiedergibt. Ein böswilliger Benutzer konnte jedoch einen zirkulären Swap-Pfad konstruieren, der Zwischenoutputs innerhalb der Route wiederverwendete, den deklarierten endgültigen Output künstlich aufblähte und die Buchhaltung des Protokolls manipulierte. Infolgedessen stützten sich die Solvenz- und Hebelprüfungen des Protokolls auf einen gefälschten Wert und nicht auf den tatsächlich erhaltenen Betrag. Dieser Fehler lag in der Funktion verify_token_out() begründet, die bestimmte Zwischenoutputs fälschlicherweise als Teil des Endergebnisses zählte, obwohl sie später innerhalb des Swap-Pfads wiederverwendet wurden.

Nachdem diese Prüfungen umgangen waren, leitete der Angreifer geliehene Vermögenswerte über vom Angreifer kontrollierte gefälschte Pools aus dem Protokoll ab, während das Protokoll nur einen geringen Wert im Gegenzug erhielt. Der Angreifer zog dann Liquidität aus diesen Pools ab, um die Gelder zu entziehen. Durch die Wiederholung dieses Vorgangs zog der Angreifer letztendlich etwa 18,4 Millionen US-Dollar aus Burrowland ab.

Dieser Vorfall zeigt, dass Margin-Trading-Protokolle vom Benutzer deklarierte Swap-Outputs nicht als vertrauenswürdige Eingabe behandeln sollten. Protokolle müssen sicherstellen, dass Solvenzprüfungen auf dem tatsächlich erhaltenen Wert basieren, Swap-Pfade ablehnen, die Zwischenwerte wiederverwenden können, und verhindern, dass die Buchführungslogik durch zirkuläre Routen manipuliert wird.

Für eine detaillierte Analyse lesen Sie unseren ausführlichen Beitrag:

https://blocksec.com/blog/venus-thena-donation-attack

Die obigen Informationen basieren auf Daten vom 29. April 2026, 00:00 UTC.

Damit ist der Bericht über die Sicherheitsvorfälle im April abgeschlossen. Für eingehendere Analysen von Blockchain-Sicherheitsvorfällen und Trends im Bereich Web3-Sicherheit können Sie unsere Ressourcen erkunden.

Mehr erfahren Sie in unserer Bibliothek für Sicherheitsvorfälle.

Bleiben Sie informiert und sicher!

Sign up for the latest updates
Newsletter - April 2026
Security Insights

Newsletter - April 2026

In April 2026, the DeFi ecosystem experienced three major security incidents. KelpDAO lost ~$290M due to an insecure 1-of-1 DVN bridge configuration exploited via RPC infrastructure compromise, Drift Protocol suffered ~$285M from a multisig governance takeover leveraging Solana's durable nonce mechanism, and Rhea Finance incurred ~$18.4M following a business logic flaw in its margin-trading module that allowed circular swap path manipulatio

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly
Security Insights

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly

This BlockSec weekly security report covers eight attack incidents detected between April 20 and April 26, 2026, across Ethereum, Avalanche, Sui, Base, HyperLiquid, and MegaETH, with total estimated losses of approximately $7.04M. The highlighted incident is the $1.3M GiddyDefi exploit, where the attacker did not break any cryptography or use a flash loan but simply replayed an existing on-chain EIP-712 signature with the unsigned `aggregator` and `fromToken` fields swapped out for a malicious contract, demonstrating how partial signature coverage turns any historical signature into a generic permit. Other incidents include a $3.5M Volo Vault operator key compromise on Sui, a $1.5M Purrlend privileged-role takeover, a $413K SingularityFinance oracle misconfiguration, a $142.7K Scallop cross-pool index injection, a $72.35K Kipseli Router decimal mismatch, a $50.7K REVLoans (Juicebox) accounting pollution, and a $64K Custom Rebalancer arbitrary-call exploit.

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026

This BlockSec weekly security report covers four attack incidents detected between April 13 and April 19, 2026, across multiple chains such as Ethereum, Unichain, Arbitrum, and NEAR, with total estimated losses of approximately $310M. The highlighted incident is the $290M KelpDAO rsETH bridge exploit, where an attacker poisoned the RPC infrastructure of the sole LayerZero DVN to fabricate a cross-chain message, triggering a cascading WETH freeze across five chains and an Arbitrum Security Council forced state transition that raises questions about the actual trust boundaries of decentralized systems. Other incidents include a $242K MMR proof forgery on Hyperbridge, a $1.5M signed integer abuse on Dango, and an $18.4M circular swap path exploit on Rhea Finance's Burrowland protocol.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit