Back to Blog

Newsletter – März 2026

April 1, 2026
3 min read

Top 3 DeFi-Vorfälle im März

Resolv Protocol: ~80 Mio. $

Am 22. März 2026 erlitt Resolv einen Sicherheitsvorfall, der zu einem Verlust von 80 Mio. $* führte.

Die Hauptursache waren kompromittierte privilegierte Infrastrukturschlüssel. Mit dem gestohlenen Schlüssel missbrauchte der Angreifer einen privilegierten Swap-Finalisierungsprozess und prägte über 80 Mio. USR ohne entsprechende Sicherheiten über drei Exploit-Transaktionen. Obwohl die Hauptursache einfach war, deckte dieser Vorfall einen breiteren Mangel an Sicherheitskontrollen auf, sowohl On-Chain als auch Off-Chain. Das Projekt setzte keine strenge Validierung während der Mint-Genehmigung durch und verfügte auch nicht über Überwachungsstrategien, um den Einbruch rechtzeitig zu erkennen und darauf zu reagieren.

Bemerkenswert ist, dass sich die Auswirkungen weit über die 80 Mio. $ hinaus erstreckten, die an nicht autorisierten USR-Minting beteiligt waren. Da Resolv-Assets als Sicherheit für mehrere Kreditprotokolle weit verbreitet waren, löste der Depeg eine breitere Kontamination aus. Wie von Chaos Labs berichtet, verfügten On-Chain-Kuratoren, die automatisierte ertragsorientierte Allokationen nutzten, nicht über Echtzeit-Risikokontrollen und leiteten weiterhin frisches Kapital in bereits beeinträchtigte Märkte. Was als lokalisierter Exploit begann, eskalierte schnell zu einem kanalübergreifenden Kontaminationsereignis, das Kreditprotokolle mit Millionen an notleidenden Schulden zurückließ.

Die Schätzung des Verlusts basiert auf dem angepeilten Wert von USR von 1 $.

BitcoinReserveOffering: ~2,7 Mio. $

Am 5. März 2026 wurde der BitcoinReserveOffering-Vertrag auf Ethereum für rund 2,7 Mio. $ ausgenutzt.

Die Hauptursache war eine fehlerhafte Geschäftslogik in der mint()-Funktion, die die Mint-Logik beim Verarbeiten einer vollständigen ERC-3525 SFT-Einzahlung zweimal ausführte. Da ERC-3525 von ERC-721 erbt, lösen sichere Übertragungen einen onERC721Received()-Callback aus. Innerhalb des Callbacks wurde der BRO-Token-Betrag berechnet und an den Aufrufer geprägt. Nachdem der Callback jedoch zurückgekehrt war, nahm die äußere mint()-Funktion ihre Arbeit wieder auf und führte eine zweite Prägung durch, wodurch die pro Einzahlung ausgegebenen BRO verdoppelt wurden. Dies ermöglichte es dem Angreifer, seinen BRO-Saldo durch wiederholte Burn-and-Mint-Zyklen in einer Angriffstransaktion aufzublähen.

Um ähnliche Probleme zu vermeiden, sollten Protokolle sicherstellen, dass die Vermögensbuchhaltung genau einmal pro Einzahlungsoperation erfolgt und Zustandsaktualisierungen vor jedem externen Aufruf, der einen Callback auslösen kann, bestätigt werden. Zusätzlich sollten Invariante Prüfungen hinzugefügt werden, um sicherzustellen, dass geprägte Beträge niemals den zugrunde liegenden eingezahlten Wert überschreiten.

Venus Protocol: ~2,15 Mio. $

Am 15. März 2026 erlitt der THE (Thena)-Markt von Venus auf der BNB Chain einen Spendensupport-Angriff in Kombination mit Marktmanipulation. Dieser Vorfall führte zu rund 2,15 Mio. $ an notleidenden Krediten für das Protokoll, während der Ausnutzer einen Nettoverlust von rund 4,7 Mio. $ On-Chain erlitt.

Venus ist ein Compound V2 Fork Kreditprotokoll. Der betroffene Markt verwendet THE als zugrundelegenden Vermögenswert, der eine geringe On-Chain-Liquidität aufweist. Der Spendensupport-Angriff wurde ermöglicht, da der Marktvertrag totalCash aus dem rohen Saldo des Vertrags ableitet. Dies ermöglichte es dem Angreifer, THE direkt an den Markt zu spenden, was totalCash erhöhte und den exchangeRate aufblähte. Mit dieser aufgeblähten Sicherheit lieh sich der Angreifer liquide Vermögenswerte, tauschte sie gegen mehr THE und erhöhte den Marktpreis von THE. Diese erhaltenen THE-Tokens wurden weiter an den Markt gespendet, wodurch die Auswirkungen des Angriffs kontinuierlich eskalierten.

Dieser Vorfall dient als Warnung für Kreditprotokolle in zweierlei Hinsicht: Buchhaltungslogik und Risikokonfiguration. Protokolle sollten manipulationsresistente Buchhaltungsmechanismen implementieren, die Vermögenswerte genau widerspiegeln und nicht durch Spendenangriffe verzerrt werden können. Zusätzlich müssen kritische Risikoparameter wie Obergrenzen für Einlagen, Obergrenzen für Kredite und Beleihungsquoten (Loan-to-Value) sorgfältig konfiguriert werden, um die Protokollrisiken zu begrenzen.

Für eine detaillierte Analyse lesen Sie unseren Deep-Dive-Beitrag:

https://blocksec.com/blog/venus-thena-donation-attack

Die obigen Informationen basieren auf Daten mit Stand vom 31. März 2026, 00:00 UTC.

Dies schließt den Sicherheitsbericht für Januar ab. Für tiefere Analysen von Blockchain-Sicherheitsvorfällen und Web3-Sicherheitstrends können Sie unsere Ressourcen erkunden.

Sie können mehr in unserer Sicherheitsvorfall-Bibliothek erfahren.

Bleiben Sie informiert und bleiben Sie sicher!

Sign up for the latest updates
Newsletter - April 2026
Security Insights

Newsletter - April 2026

In April 2026, the DeFi ecosystem experienced three major security incidents. KelpDAO lost ~$290M due to an insecure 1-of-1 DVN bridge configuration exploited via RPC infrastructure compromise, Drift Protocol suffered ~$285M from a multisig governance takeover leveraging Solana's durable nonce mechanism, and Rhea Finance incurred ~$18.4M following a business logic flaw in its margin-trading module that allowed circular swap path manipulatio

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly
Security Insights

~$7.04M Lost: GiddyDefi, Volo Vault & More | BlockSec Weekly

This BlockSec weekly security report covers eight attack incidents detected between April 20 and April 26, 2026, across Ethereum, Avalanche, Sui, Base, HyperLiquid, and MegaETH, with total estimated losses of approximately $7.04M. The highlighted incident is the $1.3M GiddyDefi exploit, where the attacker did not break any cryptography or use a flash loan but simply replayed an existing on-chain EIP-712 signature with the unsigned `aggregator` and `fromToken` fields swapped out for a malicious contract, demonstrating how partial signature coverage turns any historical signature into a generic permit. Other incidents include a $3.5M Volo Vault operator key compromise on Sui, a $1.5M Purrlend privileged-role takeover, a $413K SingularityFinance oracle misconfiguration, a $142.7K Scallop cross-pool index injection, a $72.35K Kipseli Router decimal mismatch, a $50.7K REVLoans (Juicebox) accounting pollution, and a $64K Custom Rebalancer arbitrary-call exploit.

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis
Security Insights

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis

This BlockSec deep-dive analyzes the KelpDAO $290M rsETH cross-chain bridge exploit (April 18, 2026), attributed to the Lazarus Group, tracing a causal chain across three layers: how a single-point DVN dependency enabled the attack, how DeFi composability cascaded the damage through Aave V3 lending markets to freeze WETH liquidity exceeding $6.7B across Ethereum, Arbitrum, Base, Mantle, and Linea, and how the crisis forced decentralized governance to exercise centralized emergency powers. The article examines three parameters that shaped the cascade's severity (LTV, pool depth, and cross-chain deployment count) and provides an exclusive technical breakdown of Arbitrum Security Council's forced state transition, an atomic contract upgrade that moved 30,766 ETH without the holder's signature.