Back to Blog

Newsletter - März 2026

April 1, 2026
3 min read

Top 3 DeFi-Vorfälle im März

Resolv Protocol: ca. 80 Mio. USD

Am 22. März 2026 erlitt Resolv einen Sicherheitsvorfall, der zu Verlusten in Höhe von 80 Mio. USD* führte.

Die Hauptursache waren kompromittierte privilegierte Infrastrukturschlüssel. Mit dem gestohlenen Schlüssel missbrauchte der Angreifer einen privilegierten Swap-Finalisierungsfluss und prägte über 80 Mio. USR ohne entsprechende Sicherheiten über drei Ausnutzungstransaktionen. Obwohl die Hauptursache unkompliziert war, deckte dieser Vorfall einen breiteren Mangel an Sicherheitskontrollen auf, sowohl on-chain als auch off-chain. Das Projekt wendete keine strenge Validierung während der Minting-Genehmigung an und verfügte auch nicht über Überwachungsstrategien, um den Vorfall rechtzeitig zu erkennen und darauf zu reagieren.

Bemerkenswert ist, dass die Auswirkungen weit über die 80 Mio. USD an unautorisiertem USR-Minting hinausgingen. Da Resolv-Assets als Sicherheiten in mehreren Kreditprotokollen verwendet wurden, löste der Depeg eine breitere Ansteckung aus. Wie von Chaos Labs berichtet, verfügten On-Chain-Kuratoren, die automatisierte ertragsorientierte Allokationen nutzten, über keine Echtzeit-Risikokontrollen und leiteten weiterhin frisches Kapital in bereits geschwächte Märkte. Was als lokalisierte Ausnutzung begann, eskalierte schnell zu einem protokollübergreifenden Ansteckungsereignis, das Kreditprotokolle mit Millionen an faulen Schulden hinterließ.

*Der Verlust wird auf der Grundlage des gekoppelten Werts von USR von 1 USD geschätzt.

BitcoinReserveOffering: ca. 2,7 Mio. USD

Am 5. März 2026 wurde der BitcoinReserveOffering-Vertrag auf Ethereum für etwa 2,7 Mio. USD ausgenutzt.

Die Hauptursache war eine fehlerhafte Geschäftslogik in der mint()-Funktion, die die Minting-Logik zweimal ausführte, wenn eine vollständige ERC-3525 SFT-Einzahlung verarbeitet wurde. Da ERC-3525 von ERC-721 erbt, lösen sichere Übertragungen einen onERC721Received()-Callback aus. Innerhalb des Callbacks wurde der BRO-Tokenbetrag berechnet und an den Aufrufer geprägt. Nach der Rückkehr des Callbacks nahm die äußere mint()-Funktion ihre Arbeit wieder auf und führte eine zweite Prägevorgang durch, wodurch die pro Einzahlung ausgegebenen BRO verdoppelt wurden. Dies ermöglichte es dem Angreifer, seinen BRO-Saldo durch wiederholte Burn-and-Mint-Zyklen in einer Angriffstransaktion aufzublähen.

Um ähnliche Probleme zu vermeiden, sollten Protokolle sicherstellen, dass die Vermögensbuchhaltung genau einmal pro Einzahlungsoperation erfolgt und Zustandsaktualisierungen vor jedem externen Aufruf, der einen Callback auslösen kann, vorgenommen werden. Darüber hinaus sollten Invarianzprüfungen hinzugefügt werden, um zu gewährleisten, dass geprägte Beträge niemals den zugrunde liegenden hinterlegten Wert überschreiten.

Venus Protocol: ca. 2,15 Mio. USD

Am 15. März 2026 erlitt der THE (Thena)-Markt von Venus auf der BNB Chain einen Donationsangriff in Kombination mit Marktmanipulation. Dieser Vorfall führte zu rund 2,15 Mio. USD an faulen Schulden im Protokoll, während der Ausnutzer einen Nettoverlust von rund 4,7 Mio. USD on-chain erlitt.

Venus ist ein Compound V2 Fork Kreditprotokoll. Der betroffene Markt verwendet THE als zugrundelegende Vermögenswerte, die eine geringe On-Chain-Liquidität aufweisen. Der Donationsangriff wurde dadurch ermöglicht, dass der Marktvertrag den totalCash aus dem rohen Saldo des Vertrags ableitet. Dies ermöglichte es dem Angreifer, THE direkt an den Markt zu spenden, wodurch sich der totalCash erhöhte und der exchangeRate aufgebläht wurde. Mit diesen aufgeblähten Sicherheiten lieh sich der Angreifer liquide Vermögenswerte, tauschte sie gegen mehr THE und hob den Marktpreis von THE an. Diese erhaltenen THE-Token wurden weiter an den Markt gespendet, wodurch die Auswirkungen des Angriffs kontinuierlich eskalierten.

Dieser Vorfall dient als Warnung für Kreditprotokolle in zweierlei Hinsicht: Buchhaltungslogik und Risikokonfiguration. Protokolle sollten manipulationsresistente Buchhaltungsmechanismen implementieren, die Vermögenswerte genau abbilden und nicht durch Donationsangriffe verzerrt werden können. Darüber hinaus müssen kritische Risikoparameter wie Angebotsobergrenzen, Kreditlimits und Beleihungsauslaufquoten (LTV) sorgfältig konfiguriert werden, um die Protokoll-Exposition zu begrenzen.

Für eine detaillierte Analyse lesen Sie unseren ausführlichen Beitrag:

https://blocksec.com/blog/venus-thena-donation-attack

*Die obigen Informationen basieren auf Daten mit Stand vom 31. März 2026, 00:00 UTC.

Dies schließt den Sicherheitsbericht für Januar ab. Für eine eingehendere Analyse von Blockchain-Sicherheitsvorfällen und Web3-Sicherheitstrends können Sie unsere Ressourcen erkunden.

Mehr erfahren Sie in unserer Sicherheitsvorfall-Bibliothek.

Bleiben Sie informiert und sicher!

Sign up for the latest updates
Tracing $1.6B in TRON USDT: Inside the VerilyHK Ponzi Infrastructure
Case Studies

Tracing $1.6B in TRON USDT: Inside the VerilyHK Ponzi Infrastructure

An on-chain investigation into VerilyHK, a fraudulent platform that moved $1.6B in TRON USDT through a multi-layered fund-routing infrastructure of rotating wallets, paired payout channels, and exchange exit funnels, with traced connections to the FinCEN-sanctioned Huione Group.

Weekly Web3 Security Incident Roundup | Mar 30 – Apr 5, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Mar 30 – Apr 5, 2026

This BlockSec weekly security report covers nine DeFi attack incidents detected between March 30 and April 5, 2026, across Solana, BNB Chain, Arbitrum, and Polygon, with total estimated losses of approximately $287M. The week was dominated by the $285.3M Drift Protocol exploit on Solana, where attackers combined multisig signer social engineering with Solana's durable nonce mechanism to bypass a zero-timelock 2-of-5 Security Council, alongside notable incidents including a $950K flash loan TWAP manipulation against the LML staking protocol, a $359K Silo Finance vault inflation via an external `wstUSR` market donation exploiting a depegged-asset oracle and `totalAssets()` accounting flaw, and an EIP-7702 delegated-code access control failure. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident, covering flawed business logic, access control, price manipulation, phishing, and misconfiguration attack types.

Drift Protocol Incident: Multisig Governance Compromise via Durable Nonce Exploitation
Security Insights

Drift Protocol Incident: Multisig Governance Compromise via Durable Nonce Exploitation

On April 1, 2026 (UTC), Drift Protocol on Solana suffered a $285.3M loss after an attacker exploited Solana's durable nonce mechanism to delay the execution of phished multisig approvals, ultimately transferring administrative control of the protocol's 2-of-5 Squads governance with zero timelock. With full admin privileges, the attacker created a malicious collateral market (CVT), inflated its oracle price, relaxed withdrawal protections, and drained USDC, JLP, SOL, cbBTC, and other assets through 31 rapid withdrawals in approximately 12 minutes. This incident highlights how durable nonce-based delayed execution can decouple signer intent from on-chain execution, bypassing the temporal assumptions that multisig security implicitly relies on.