Back to Blog

YieldBlox DAO Vorfall auf Stellar: Oracle-Fehlkonfiguration ermöglichte Abfluss von über 10 Mio. $

Code Auditing
February 26, 2026

Am 22. Februar 2026 wurde ein Kreditpool, der von YieldBlox DAO auf Stellar's Blend V2 betrieben wurde, ausgenutzt, was zu Verlusten von über 10 Millionen US-Dollar führte.

Der Angreifer manipulierte den USTRY/USDC-Markt auf SDEX. Der konfigurierte Reflector-Orakelpfad des Pools akzeptierte daraufhin den manipulierten Preis, bewertete die USTRY-Sicherheiten über und ermöglichte es dem Angreifer, Pool-Assets (USDC und XLM) abzuziehen.

Dieser Vorfall war kein Problem des Blend V2 Kernvertrags. Es handelte sich um ein Konfigurationsproblem des Poolbetreibers (YieldBlox DAO).

2. Hintergrund

Auf Stellar ist Blend V2 ein Liquiditätsprotokoll, das es Benutzern ermöglicht, isolierte Kreditpools zu erstellen. Jeder Pool definiert seine eigenen Kredit-Assets, Sicherheiten-Assets und Orakel-Einstellungen.

In diesem Vorfall erlaubte der betroffene Pool Benutzern, XLM und USDC gegen USTRY als Sicherheit zu leihen. Der Pool verwendete das Reflector-Orakel [2], und die USTRY-Preisbildung wurde aus dem USTRY/USDC-Markt auf SDEX [3] mit periodischen Updates bezogen.

3. Schwachstellenanalyse (Ursachenanalyse)

Die Ausnutzung wurde durch ein Pool-seitiges Preisdesign ermöglicht, das auf einem manipulierbaren Markt basierte.

  1. Der USTRY/USDC-Markt auf SDEX war sehr dünn.
  2. Der Angreifer konnte normale Orders löschen und anormale Orders platzieren, um den scheinbaren Marktpreis stark zu erhöhen.
  3. Reflector aktualisierte daraufhin USTRY auf den manipulierten Wert.
  4. Die Risikologik des Pools akzeptierte diesen Wert für die Bewertung der Sicherheiten, was die Kreditaufnahmemöglichkeit erhöhte.

Infolgedessen nutzte der Angreifer überbewertete USTRY-Sicherheiten, um ausleihbare Vermögenswerte aus dem Pool zu ziehen.

4. Angriffsanalyse

  1. (Tx 1, 2) Der Angreifer manipulierte USTRY auf SDEX von ca. 1,06 $ auf ca. 107 $, indem er normale Liquidität verbrauchte und anormale Orders platzierte.
  1. (Tx 3) Reflector zog den manipulierten SDEX-Preis und aktualisierte seinen Feed.
  1. (Tx 4, 5) Der Angreifer lieh sich 1.000.196e7 USDC mit 12.881e7 USTRY als Sicherheit.
  1. (Tx 6, 7) Der Angreifer lieh sich 6.124.927.810e7 XLM mit 14.987.610e7 USTRY als Sicherheit.
  1. (Tx 8, 9, 10) Der Angreifer brückte die abgezogenen Assets nach Base, BSC und Ethereum.

5. Verlust-/Gewinnanalyse

Der geschätzte Gesamtverlust betrug auf Stellar über 10 Millionen US-Dollar.

ID Kette Aktion Verlust Tx(s) Hash
1 Stellar Preismanipulation - 09e1a9d1197c9bf0af4e87da328c4f2d5eb49b487630aa61991fb5c1c4637cdb
2 Stellar Preismanipulation - 60fe039e96e88402d175c8de68e80651874ab125880dd384a1636914ba95bef1
3 Stellar Preisaktualisierung - 56466ad66cd5c49a251b9f1c7c0cf6b1b2f62d121b58ff856e2b43673b22be51
4 Stellar Einzahlung 1 - b810ba4a8d7547bb024f17b58c32cc644533176206d0f8178d4ba0a545cb7597
5 Stellar Kreditaufnahme 1 1 Mio. $ (1 Mio. USDC) ae721cacee382bdecac8d2c47286ecd42cb4711f658bb2aec7cba60dc64a31ff
6 Stellar Einzahlung 2 - 81f304ae627ba294df0f9c0708a58a2fe770b39d65f8cd0efe1d7d6d6cc885a6
7 Stellar Kreditaufnahme 2 9,85 Mio. $ (61,2 Mio. XLM) 3e81a3f7b6e17cc22d0a1f33e9dcf90e5664b125b9e61f108b8d2f082f2d4657
8 Stellar Bridge zu Binance Smart Chain - 1210ccb583c174e0ecb3cdc56adbc59a06d73b7ebcb07b7e9a1c0c371b9f00e3
9 Stellar Bridge zu Base - erste: 3fba5c384763349b74c7bfece148eb12600b161faf3382ba9c1f5f0fe76d52f5, letzte: df6129cce16edc7800a4199edb9d2ef2f3e6bfc9d3f44d6e29b3ab20c8dc1714 (15 insgesamt)
10 Stellar Bridge zu Ethereum - erste: 4012e2d140ea493de8d8abe5cc2ddd9e7d7f6661594d53fef5d0cfc26e1c7f0b, letzte: f383fedb28dae42a6d8d8aab77de81d0645c67e57d3f6bc10683f659d229cce6 (16 insgesamt)
Kette Typ Adresse
Stellar Angreifer GBO7VUL2TOKPWFAWKATIW7K3QYA7WQ63VDY5CAE6AFUUX6BHZBOC2WXC
Stellar Angreifer GCNF5GNRIT6VWYZ7LXUZ33Q3SR2NUGO32F5X65VVKAEWWIQCKGYN75HB
Stellar Angreifer GDHRCQNC64UVL27EXSC6OG6I2FCT4NWM72KNHLHKEB3LK4MEEYYWETN3
Stellar Angreifer GATDQL767ZM2JQTBEG4BQ5WKOQNGAGWZDUN4GYT2UINPEU3RT2UAMVZH
Stellar Reflector Oracle CALI2BYU2JE6WVRUFYTS6MSBNEHGJ35P4AVCZYF3B6QOE3QKOB2PLE6M
Stellar Opfer-Pool CCCCIQSDILITHMM7PBSLVDT5MISSY7R26MNZXCX4H7J5JQ5FPIYOGYFS
BSC, Base, Ethereum Angreifer 0x2d1ce29b4af15fb6e76ba9995bbe1421e8546482
Ethereum Angreifer 0x0b2b16e1a9e2e9b15027ae46fa5ec547f5ef3ec6
Ethereum Angreifer 0xe69f6d77db6ff493fdd15d8a0b390c36e18e5b21

6. Fazit

Das Kernproblem ist einfach: Die Bewertung der Sicherheiten in diesem Pool hing von einer manipulierbaren Preisquelle ab. Dies war ein Konfigurationsfehler des Poolbetreibers (YieldBlox DAO), kein Fehler des Blend V2 Kernvertrags. Dieser Vorfall erinnert daran, dass Kreditpools Preisabhängigkeiten mit starker Manipulationsresistenz auswählen und überwachen müssen.

Referenzen

[1] YieldBlox DAO

[2] https://reflector.network/

[3] USTRY/USDC-Markt auf der SDEX

Über BlockSec

BlockSec ist ein Full-Stack-Anbieter für Blockchain-Sicherheit und Krypto-Compliance. Wir entwickeln Produkte und Dienstleistungen, die Kunden bei der Durchführung von Code-Audits (einschließlich Smart Contracts, Blockchains und Wallets), der Echtzeit-Abwehr von Angriffen, der Analyse von Vorfällen, der Verfolgung illegaler Gelder und der Einhaltung von AML/CFT-Verpflichtungen über den gesamten Lebenszyklus von Protokollen und Plattformen hinweg unterstützen.

BlockSec hat mehrere Blockchain-Sicherheitsarbeiten auf renommierten Konferenzen veröffentlicht, mehrere Zero-Day-Angriffe auf DeFi-Anwendungen gemeldet, mehrere Hacks blockiert, um mehr als 20 Millionen Dollar zu retten, und Milliarden von Kryptowährungen gesichert.

Sign up for the latest updates
Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026

This BlockSec weekly security report covers four attack incidents detected between April 13 and April 19, 2026, across multiple chains such as Ethereum, Unichain, Arbitrum, and NEAR, with total estimated losses of approximately $310M. The highlighted incident is the $290M KelpDAO rsETH bridge exploit, where an attacker poisoned the RPC infrastructure of the sole LayerZero DVN to fabricate a cross-chain message, triggering a cascading WETH freeze across five chains and an Arbitrum Security Council forced state transition that raises questions about the actual trust boundaries of decentralized systems. Other incidents include a $242K MMR proof forgery on Hyperbridge, a $1.5M signed integer abuse on Dango, and an $18.4M circular swap path exploit on Rhea Finance's Burrowland protocol.

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis
Security Insights

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis

This BlockSec deep-dive analyzes the KelpDAO $290M rsETH cross-chain bridge exploit (April 18, 2026), attributed to the Lazarus Group, tracing a causal chain across three layers: how a single-point DVN dependency enabled the attack, how DeFi composability cascaded the damage through Aave V3 lending markets to freeze WETH liquidity exceeding $6.7B across Ethereum, Arbitrum, Base, Mantle, and Linea, and how the crisis forced decentralized governance to exercise centralized emergency powers. The article examines three parameters that shaped the cascade's severity (LTV, pool depth, and cross-chain deployment count) and provides an exclusive technical breakdown of Arbitrum Security Council's forced state transition, an atomic contract upgrade that moved 30,766 ETH without the holder's signature.

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026

This BlockSec weekly security report covers four DeFi attack incidents detected between April 6 and April 12, 2026, across Linea, BNB Chain, Arbitrum, Optimism, Avalanche, and Base, with total estimated losses of approximately $928.6K. Notable incidents include a $517K approval-related exploit where a user mistakenly approved a permissionless SquidMulticall contract enabling arbitrary external calls, a $193K business logic flaw in the HB token's reward-settlement logic that allowed direct AMM reserve manipulation, a $165.6K exploit in Denaria's perpetual DEX caused by a rounding asymmetry compounded with an unsafe cast, and a $53K access control issue in XBITVault caused by an initialization-dependent check that failed open. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit