Back to Blog

YieldBlox DAO Vorfall auf Stellar: Oracle-Fehlkonfiguration ermöglichte Abfluss von über 10 Mio. $

Code Auditing
February 26, 2026

Am 22. Februar 2026 wurde ein Kreditpool, der von YieldBlox DAO auf Stellar's Blend V2 betrieben wurde, ausgenutzt, was zu Verlusten von über 10 Millionen US-Dollar führte.

Der Angreifer manipulierte den USTRY/USDC-Markt auf SDEX. Der konfigurierte Reflector-Orakelpfad des Pools akzeptierte daraufhin den manipulierten Preis, bewertete die USTRY-Sicherheiten über und ermöglichte es dem Angreifer, Pool-Assets (USDC und XLM) abzuziehen.

Dieser Vorfall war kein Problem des Blend V2 Kernvertrags. Es handelte sich um ein Konfigurationsproblem des Poolbetreibers (YieldBlox DAO).

2. Hintergrund

Auf Stellar ist Blend V2 ein Liquiditätsprotokoll, das es Benutzern ermöglicht, isolierte Kreditpools zu erstellen. Jeder Pool definiert seine eigenen Kredit-Assets, Sicherheiten-Assets und Orakel-Einstellungen.

In diesem Vorfall erlaubte der betroffene Pool Benutzern, XLM und USDC gegen USTRY als Sicherheit zu leihen. Der Pool verwendete das Reflector-Orakel [2], und die USTRY-Preisbildung wurde aus dem USTRY/USDC-Markt auf SDEX [3] mit periodischen Updates bezogen.

3. Schwachstellenanalyse (Ursachenanalyse)

Die Ausnutzung wurde durch ein Pool-seitiges Preisdesign ermöglicht, das auf einem manipulierbaren Markt basierte.

  1. Der USTRY/USDC-Markt auf SDEX war sehr dünn.
  2. Der Angreifer konnte normale Orders löschen und anormale Orders platzieren, um den scheinbaren Marktpreis stark zu erhöhen.
  3. Reflector aktualisierte daraufhin USTRY auf den manipulierten Wert.
  4. Die Risikologik des Pools akzeptierte diesen Wert für die Bewertung der Sicherheiten, was die Kreditaufnahmemöglichkeit erhöhte.

Infolgedessen nutzte der Angreifer überbewertete USTRY-Sicherheiten, um ausleihbare Vermögenswerte aus dem Pool zu ziehen.

4. Angriffsanalyse

  1. (Tx 1, 2) Der Angreifer manipulierte USTRY auf SDEX von ca. 1,06 $ auf ca. 107 $, indem er normale Liquidität verbrauchte und anormale Orders platzierte.
  1. (Tx 3) Reflector zog den manipulierten SDEX-Preis und aktualisierte seinen Feed.
  1. (Tx 4, 5) Der Angreifer lieh sich 1.000.196e7 USDC mit 12.881e7 USTRY als Sicherheit.
  1. (Tx 6, 7) Der Angreifer lieh sich 6.124.927.810e7 XLM mit 14.987.610e7 USTRY als Sicherheit.
  1. (Tx 8, 9, 10) Der Angreifer brückte die abgezogenen Assets nach Base, BSC und Ethereum.

5. Verlust-/Gewinnanalyse

Der geschätzte Gesamtverlust betrug auf Stellar über 10 Millionen US-Dollar.

ID Kette Aktion Verlust Tx(s) Hash
1 Stellar Preismanipulation - 09e1a9d1197c9bf0af4e87da328c4f2d5eb49b487630aa61991fb5c1c4637cdb
2 Stellar Preismanipulation - 60fe039e96e88402d175c8de68e80651874ab125880dd384a1636914ba95bef1
3 Stellar Preisaktualisierung - 56466ad66cd5c49a251b9f1c7c0cf6b1b2f62d121b58ff856e2b43673b22be51
4 Stellar Einzahlung 1 - b810ba4a8d7547bb024f17b58c32cc644533176206d0f8178d4ba0a545cb7597
5 Stellar Kreditaufnahme 1 1 Mio. $ (1 Mio. USDC) ae721cacee382bdecac8d2c47286ecd42cb4711f658bb2aec7cba60dc64a31ff
6 Stellar Einzahlung 2 - 81f304ae627ba294df0f9c0708a58a2fe770b39d65f8cd0efe1d7d6d6cc885a6
7 Stellar Kreditaufnahme 2 9,85 Mio. $ (61,2 Mio. XLM) 3e81a3f7b6e17cc22d0a1f33e9dcf90e5664b125b9e61f108b8d2f082f2d4657
8 Stellar Bridge zu Binance Smart Chain - 1210ccb583c174e0ecb3cdc56adbc59a06d73b7ebcb07b7e9a1c0c371b9f00e3
9 Stellar Bridge zu Base - erste: 3fba5c384763349b74c7bfece148eb12600b161faf3382ba9c1f5f0fe76d52f5, letzte: df6129cce16edc7800a4199edb9d2ef2f3e6bfc9d3f44d6e29b3ab20c8dc1714 (15 insgesamt)
10 Stellar Bridge zu Ethereum - erste: 4012e2d140ea493de8d8abe5cc2ddd9e7d7f6661594d53fef5d0cfc26e1c7f0b, letzte: f383fedb28dae42a6d8d8aab77de81d0645c67e57d3f6bc10683f659d229cce6 (16 insgesamt)
Kette Typ Adresse
Stellar Angreifer GBO7VUL2TOKPWFAWKATIW7K3QYA7WQ63VDY5CAE6AFUUX6BHZBOC2WXC
Stellar Angreifer GCNF5GNRIT6VWYZ7LXUZ33Q3SR2NUGO32F5X65VVKAEWWIQCKGYN75HB
Stellar Angreifer GDHRCQNC64UVL27EXSC6OG6I2FCT4NWM72KNHLHKEB3LK4MEEYYWETN3
Stellar Angreifer GATDQL767ZM2JQTBEG4BQ5WKOQNGAGWZDUN4GYT2UINPEU3RT2UAMVZH
Stellar Reflector Oracle CALI2BYU2JE6WVRUFYTS6MSBNEHGJ35P4AVCZYF3B6QOE3QKOB2PLE6M
Stellar Opfer-Pool CCCCIQSDILITHMM7PBSLVDT5MISSY7R26MNZXCX4H7J5JQ5FPIYOGYFS
BSC, Base, Ethereum Angreifer 0x2d1ce29b4af15fb6e76ba9995bbe1421e8546482
Ethereum Angreifer 0x0b2b16e1a9e2e9b15027ae46fa5ec547f5ef3ec6
Ethereum Angreifer 0xe69f6d77db6ff493fdd15d8a0b390c36e18e5b21

6. Fazit

Das Kernproblem ist einfach: Die Bewertung der Sicherheiten in diesem Pool hing von einer manipulierbaren Preisquelle ab. Dies war ein Konfigurationsfehler des Poolbetreibers (YieldBlox DAO), kein Fehler des Blend V2 Kernvertrags. Dieser Vorfall erinnert daran, dass Kreditpools Preisabhängigkeiten mit starker Manipulationsresistenz auswählen und überwachen müssen.

Referenzen

[1] YieldBlox DAO

[2] https://reflector.network/

[3] USTRY/USDC-Markt auf der SDEX

Über BlockSec

BlockSec ist ein Full-Stack-Anbieter für Blockchain-Sicherheit und Krypto-Compliance. Wir entwickeln Produkte und Dienstleistungen, die Kunden bei der Durchführung von Code-Audits (einschließlich Smart Contracts, Blockchains und Wallets), der Echtzeit-Abwehr von Angriffen, der Analyse von Vorfällen, der Verfolgung illegaler Gelder und der Einhaltung von AML/CFT-Verpflichtungen über den gesamten Lebenszyklus von Protokollen und Plattformen hinweg unterstützen.

BlockSec hat mehrere Blockchain-Sicherheitsarbeiten auf renommierten Konferenzen veröffentlicht, mehrere Zero-Day-Angriffe auf DeFi-Anwendungen gemeldet, mehrere Hacks blockiert, um mehr als 20 Millionen Dollar zu retten, und Milliarden von Kryptowährungen gesichert.

Sign up for the latest updates
Tether Freezes $6.76M USDT Linked to Iran's IRGC & Houthi Forces: Why On-Chain Compliance is Now a Geopolitical Battlefield
Security Insights

Tether Freezes $6.76M USDT Linked to Iran's IRGC & Houthi Forces: Why On-Chain Compliance is Now a Geopolitical Battlefield

Looking ahead, targeted freezing events like this $6.76M USDT action will only become more common. On-chain data analysis is improving. Stablecoin issuers are also working closely with regulators. As a result, hidden illicit financial networks will be exposed.

Weekly Web3 Security Incident Roundup | Mar 2 – Mar 8, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Mar 2 – Mar 8, 2026

During the week of March 2 to March 8, 2026, seven blockchain security incidents were reported with total losses of ~$3.25M. The incidents occurred across Base, BNB Chain, and Ethereum, exposing critical vulnerabilities in smart contract business logic, token deflationary mechanics, and asset price manipulation. The primary causes included a double-minting logic flaw during full token deposits that allowed an attacker to exponentially inflate their balances through repeated burn-and-mint cycles, a price manipulation vulnerability in an AMM-based lending market where artificially inflated vault shares created divergent price anchors to incorrectly force healthy positions into liquidation, and a flawed access control implementation relying on trivially spoofed contract interfaces that enabled attackers to bypass authorization to batch-mint and dump arbitrary tokens.

Weekly Web3 Security Incident Roundup | Feb 23 – Mar 1, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Feb 23 – Mar 1, 2026

During the week of February 23 to March 1, 2026, seven blockchain security incidents were reported with total losses of ~$13M. The incidents affected multiple protocols, exposing critical weaknesses in oracle design/configuration, cryptographic verification, and core business logic. The primary drivers included oracle manipulation/misconfiguration that led to the largest loss at YieldBloxDAO (~$10M), a crypto-proof verification flaw that enabled the FOOMCASH (~$2.26M) exploit, and additional token design and logic errors impacting Ploutos, LAXO, STO, HedgePay, and an unknown contract, underscoring the need for rigorous audits and continuous monitoring across all protocol layers.