YieldBlox DAO Vorfall auf Stellar: Oracle-Fehlkonfiguration ermöglichte Abfluss von über 10 Mio. $

YieldBlox DAO Vorfall auf Stellar: Oracle-Fehlkonfiguration ermöglichte Abfluss von über 10 Mio. $

Am 22. Februar 2026 wurde ein Kreditpool, der von YieldBlox DAO auf Stellar's Blend V2 betrieben wurde, ausgenutzt, was zu Verlusten von über 10 Millionen US-Dollar führte.

Der Angreifer manipulierte den USTRY/USDC-Markt auf SDEX. Der konfigurierte Reflector-Orakelpfad des Pools akzeptierte daraufhin den manipulierten Preis, bewertete die USTRY-Sicherheiten über und ermöglichte es dem Angreifer, Pool-Assets (USDC und XLM) abzuziehen.

Dieser Vorfall war kein Problem des Blend V2 Kernvertrags. Es handelte sich um ein Konfigurationsproblem des Poolbetreibers (YieldBlox DAO).

2. Hintergrund

Auf Stellar ist Blend V2 ein Liquiditätsprotokoll, das es Benutzern ermöglicht, isolierte Kreditpools zu erstellen. Jeder Pool definiert seine eigenen Kredit-Assets, Sicherheiten-Assets und Orakel-Einstellungen.

In diesem Vorfall erlaubte der betroffene Pool Benutzern, XLM und USDC gegen USTRY als Sicherheit zu leihen. Der Pool verwendete das Reflector-Orakel [2], und die USTRY-Preisbildung wurde aus dem USTRY/USDC-Markt auf SDEX [3] mit periodischen Updates bezogen.

3. Schwachstellenanalyse (Ursachenanalyse)

Die Ausnutzung wurde durch ein Pool-seitiges Preisdesign ermöglicht, das auf einem manipulierbaren Markt basierte.

  1. Der USTRY/USDC-Markt auf SDEX war sehr dünn.
  2. Der Angreifer konnte normale Orders löschen und anormale Orders platzieren, um den scheinbaren Marktpreis stark zu erhöhen.
  3. Reflector aktualisierte daraufhin USTRY auf den manipulierten Wert.
  4. Die Risikologik des Pools akzeptierte diesen Wert für die Bewertung der Sicherheiten, was die Kreditaufnahmemöglichkeit erhöhte.

Infolgedessen nutzte der Angreifer überbewertete USTRY-Sicherheiten, um ausleihbare Vermögenswerte aus dem Pool zu ziehen.

4. Angriffsanalyse

  1. (Tx 1, 2) Der Angreifer manipulierte USTRY auf SDEX von ca. 1,06 $ auf ca. 107 $, indem er normale Liquidität verbrauchte und anormale Orders platzierte.
  1. (Tx 3) Reflector zog den manipulierten SDEX-Preis und aktualisierte seinen Feed.
  1. (Tx 4, 5) Der Angreifer lieh sich 1.000.196e7 USDC mit 12.881e7 USTRY als Sicherheit.
  1. (Tx 6, 7) Der Angreifer lieh sich 6.124.927.810e7 XLM mit 14.987.610e7 USTRY als Sicherheit.
  1. (Tx 8, 9, 10) Der Angreifer brückte die abgezogenen Assets nach Base, BSC und Ethereum.

5. Verlust-/Gewinnanalyse

Der geschätzte Gesamtverlust betrug auf Stellar über 10 Millionen US-Dollar.

ID Kette Aktion Verlust Tx(s) Hash
1 Stellar Preismanipulation - 09e1a9d1197c9bf0af4e87da328c4f2d5eb49b487630aa61991fb5c1c4637cdb
2 Stellar Preismanipulation - 60fe039e96e88402d175c8de68e80651874ab125880dd384a1636914ba95bef1
3 Stellar Preisaktualisierung - 56466ad66cd5c49a251b9f1c7c0cf6b1b2f62d121b58ff856e2b43673b22be51
4 Stellar Einzahlung 1 - b810ba4a8d7547bb024f17b58c32cc644533176206d0f8178d4ba0a545cb7597
5 Stellar Kreditaufnahme 1 1 Mio. $ (1 Mio. USDC) ae721cacee382bdecac8d2c47286ecd42cb4711f658bb2aec7cba60dc64a31ff
6 Stellar Einzahlung 2 - 81f304ae627ba294df0f9c0708a58a2fe770b39d65f8cd0efe1d7d6d6cc885a6
7 Stellar Kreditaufnahme 2 9,85 Mio. $ (61,2 Mio. XLM) 3e81a3f7b6e17cc22d0a1f33e9dcf90e5664b125b9e61f108b8d2f082f2d4657
8 Stellar Bridge zu Binance Smart Chain - 1210ccb583c174e0ecb3cdc56adbc59a06d73b7ebcb07b7e9a1c0c371b9f00e3
9 Stellar Bridge zu Base - erste: 3fba5c384763349b74c7bfece148eb12600b161faf3382ba9c1f5f0fe76d52f5, letzte: df6129cce16edc7800a4199edb9d2ef2f3e6bfc9d3f44d6e29b3ab20c8dc1714 (15 insgesamt)
10 Stellar Bridge zu Ethereum - erste: 4012e2d140ea493de8d8abe5cc2ddd9e7d7f6661594d53fef5d0cfc26e1c7f0b, letzte: f383fedb28dae42a6d8d8aab77de81d0645c67e57d3f6bc10683f659d229cce6 (16 insgesamt)
Kette Typ Adresse
Stellar Angreifer GBO7VUL2TOKPWFAWKATIW7K3QYA7WQ63VDY5CAE6AFUUX6BHZBOC2WXC
Stellar Angreifer GCNF5GNRIT6VWYZ7LXUZ33Q3SR2NUGO32F5X65VVKAEWWIQCKGYN75HB
Stellar Angreifer GDHRCQNC64UVL27EXSC6OG6I2FCT4NWM72KNHLHKEB3LK4MEEYYWETN3
Stellar Angreifer GATDQL767ZM2JQTBEG4BQ5WKOQNGAGWZDUN4GYT2UINPEU3RT2UAMVZH
Stellar Reflector Oracle CALI2BYU2JE6WVRUFYTS6MSBNEHGJ35P4AVCZYF3B6QOE3QKOB2PLE6M
Stellar Opfer-Pool CCCCIQSDILITHMM7PBSLVDT5MISSY7R26MNZXCX4H7J5JQ5FPIYOGYFS
BSC, Base, Ethereum Angreifer 0x2d1ce29b4af15fb6e76ba9995bbe1421e8546482
Ethereum Angreifer 0x0b2b16e1a9e2e9b15027ae46fa5ec547f5ef3ec6
Ethereum Angreifer 0xe69f6d77db6ff493fdd15d8a0b390c36e18e5b21

6. Fazit

Das Kernproblem ist einfach: Die Bewertung der Sicherheiten in diesem Pool hing von einer manipulierbaren Preisquelle ab. Dies war ein Konfigurationsfehler des Poolbetreibers (YieldBlox DAO), kein Fehler des Blend V2 Kernvertrags. Dieser Vorfall erinnert daran, dass Kreditpools Preisabhängigkeiten mit starker Manipulationsresistenz auswählen und überwachen müssen.

Referenzen

[1] YieldBlox DAO

[2] https://reflector.network/

[3] USTRY/USDC-Markt auf der SDEX

Über BlockSec

BlockSec ist ein Full-Stack-Anbieter für Blockchain-Sicherheit und Krypto-Compliance. Wir entwickeln Produkte und Dienstleistungen, die Kunden bei der Durchführung von Code-Audits (einschließlich Smart Contracts, Blockchains und Wallets), der Echtzeit-Abwehr von Angriffen, der Analyse von Vorfällen, der Verfolgung illegaler Gelder und der Einhaltung von AML/CFT-Verpflichtungen über den gesamten Lebenszyklus von Protokollen und Plattformen hinweg unterstützen.

BlockSec hat mehrere Blockchain-Sicherheitsarbeiten auf renommierten Konferenzen veröffentlicht, mehrere Zero-Day-Angriffe auf DeFi-Anwendungen gemeldet, mehrere Hacks blockiert, um mehr als 20 Millionen Dollar zu retten, und Milliarden von Kryptowährungen gesichert.

Sign up for the latest updates
BlockSec Releases the 2025 Crypto Crime Report

BlockSec Releases the 2025 Crypto Crime Report

This 36-page report, based on data analysis and on-chain evidence, includes breakdowns of common real-world cases, showing the big picture of cryptocurrency crime in 2025. It also covers the main features, structure, and trends in this field.

YieldBlox DAO Incident on Stellar: Oracle Misconfiguration Enabled a $10M+ Drain

YieldBlox DAO Incident on Stellar: Oracle Misconfiguration Enabled a $10M+ Drain

In-depth analysis of the YieldBlox DAO pool exploit on Blend V2 (Stellar), showing how USTRY/USDC price manipulation and oracle misconfiguration enabled a $10M+ drain.

Weekly Web3 Security Incident Roundup | Feb 9 – Feb 15, 2026

Weekly Web3 Security Incident Roundup | Feb 9 – Feb 15, 2026

During the week of February 9 to February 15, 2026, three blockchain security incidents were reported with total losses of ~$657K. All incidents occurred on the BNB Smart Chain and involved flawed business logic in DeFi token contracts. The primary causes included an unchecked balance withdrawal from an intermediary contract that allowed donation-based inflation of a liquidity addition targeted by a sandwich attack, a post-swap deflationary clawback that returned sold tokens to the caller while draining pool reserves to create a repeatable price-manipulation primitive, and a token transfer override that burned tokens directly from a Uniswap V2 pair's balance and force-synced reserves within the same transaction to artificially inflate the token price.