Direkt zum Hauptinhalt

DeFi-Hack-Bericht für Q1 2026: 169 Mio. $ gestohlen, da Angreifer Smart Contracts zugunsten von Private Keys und Cloud-Infrastruktur aufgeben

· 7 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

DeFi-Protokolle verloren im ersten Quartal 2026 laut der neuesten Hack-Datenbank von DefiLlama 169 Millionen in34separatenExploits.DieseZahlistimJahresvergleichum89in 34 separaten Exploits. Diese Zahl ist im Jahresvergleich um 89 % gegenüber dem erschütternden Wert von 1,58 Milliarden aus Q1 2025 gesunken – doch die oberflächliche Verbesserung verbirgt eine beunruhigende Geschichte. Die Angreifer, die in diesem Quartal das meiste Geld erbeuteten, haben keine einzige Zeile Smart-Contract-Code angefasst.

Das Quartal in Zahlen

Zwischen dem 1. Januar und dem 31. März 2026 katalogisierte DefiLlama 34 verschiedene Exploits von DeFi-Protokollen mit einem Gesamtwert von etwa 169 Millionen angestohlenenVermo¨genswerten.DerJanuarmachtedenLo¨wenanteilaus,prima¨rgetriebendurchden40Millionen an gestohlenen Vermögenswerten. Der Januar machte den Löwenanteil aus, primär getrieben durch den 40-Millionen--Einbruch in die Treasury von Step Finance am 31. Januar. Im Februar gab es eine Reihe mittelgroßer Vorfälle, darunter die Orakel-Manipulation bei Blend Protocol auf Stellar in Höhe von 10 Millionen undeineKompromittierungderIoTeXBridgeu¨ber8Millionenund eine Kompromittierung der IoTeX-Bridge über 8 Millionen. Der März endete laut PeckShield-Daten mit dem 23-Millionen-ExploitbeiResolvLabsam21.Ma¨rzundinsgesamtetwa52Millionen-Exploit bei Resolv Labs am 21. März und insgesamt etwa 52 Millionen an Verlusten über alle Protokolle hinweg.

Diese DeFi-spezifischen Zahlen sind Teil einer breiteren Krypto-Sicherheitslandschaft im ersten Quartal, die Cryip auf über 450 Millionen scha¨tzt,wennmanzentralisierteBo¨rsen,PhishingKampagnenundInfrastrukturAngriffemiteinbezieht.UnddasQuartalwarkaumbeendet,alsder285Millionen schätzt, wenn man zentralisierte Börsen, Phishing-Kampagnen und Infrastruktur-Angriffe mit einbezieht. Und das Quartal war kaum beendet, als der 285-Millionen--Exploit von Drift Protocol am 1. April jegliches Gefühl einer verbesserten Sicherheitslage zunichtemachte.

Smart Contracts sind nicht länger das schwächste Glied

Das prägende Muster von Q1 2026 ist unverkennbar: Die teuersten Angriffe umgingen Smart Contracts vollständig.

**Step Finance (40 Mio. ,31.Januar)AngreiferkompromittiertenGera¨tevonFu¨hrungskra¨ften,umPrivateKeysfu¨rTreasuryWalletszuextrahieren,undentzogendann261.932SOLausStakingPositionensowieandereTreasuryAssets.DieOnChainForensikenthu¨llteeinemethodischeOperation,dieu¨bermehrereTagegeplantwar.DasProtokollkonnteetwa4,7Millionen, 31. Januar)** — Angreifer kompromittierten Geräte von Führungskräften, um Private Keys für Treasury-Wallets zu extrahieren, und entzogen dann 261.932 SOL aus Staking-Positionen sowie andere Treasury-Assets. Die On-Chain-Forensik enthüllte eine methodische Operation, die über mehrere Tage geplant war. Das Protokoll konnte etwa 4,7 Millionen durch Sicherheitsfunktionen des Token22-Standards und schnelle Interventionen auf Protokollebene zurückgewinnen — weniger als 12 % der gestohlenen Summe.

**Resolv Labs (23 Mio. ,21.Ma¨rz)EinAngreiferdrangindieAWSKeyManagementService(KMS)UmgebungvonResolveinunderlangtedieKontrolleu¨berdenprivilegiertenSignierschlu¨sseldesProtokolls.SiefinanziertenzweiSwapAnfragenmitbescheidenen100.000200.000, 21. März)** — Ein Angreifer drang in die AWS Key Management Service (KMS)-Umgebung von Resolv ein und erlangte die Kontrolle über den privilegierten Signierschlüssel des Protokolls. Sie finanzierten zwei Swap-Anfragen mit bescheidenen 100.000 – 200.000 in USDC und nutzten dann den kompromittierten SERVICE_ROLE-Schlüssel, um die Prägung von 80 Millionen ungedeckten USR-Stablecoins zu autorisieren. Die Dollar-Bindung des Tokens brach auf 0,20 ein,bevorsiesichteilweiseauf0,56ein, bevor sie sich teilweise auf 0,56 erholte. Die Ursache war eine Architektur, die absolutes Vertrauen in einen einzelnen, in der Cloud gehosteten Schlüssel setzte, ohne eine On-Chain-Prägeobergrenze vorzusehen.

IoTeX Bridge (8 Mio. $, Februar) — Das Durchsickern privater Schlüssel und Fehler bei der Zugriffskontrolle in der Cross-Chain-Bridge-Infrastruktur ermöglichten den Abfluss — ein wiederkehrendes Muster, das die Cross-Chain-Liquidität weiterhin bedroht.

Zusammen machten die Kompromittierung privater Schlüssel und Fehler bei der Zugriffskontrolle über 70 Millionen $ der Verluste in Q1 aus — mehr als 40 % der Gesamtsumme —, ohne eine einzige Schwachstelle in einem Smart Contract auszunutzen.

Orakel-Manipulation: Das beständige systemische Risiko

Während Angriffe auf Private Keys die Schlagzeilen dominierten, blieb die Orakel-Manipulation eine zuverlässige Waffe im Arsenal der Angreifer. In Q1 trafen Orakel-nahe Exploits Aave V3, Venus Protocol, Moonwell, Blend Protocol und Valinity. Preis-Feeds, die auf dünnen Liquiditätspools oder schlecht gesicherten externen Datenquellen basieren, bleiben eine systemische Schwäche bei Lending-Primitiven.

Der Drift-Protocol-Exploit vom 1. April veranschaulichte die Technik in ihrer raffiniertesten Form. Der Angreifer erstellte einen gefälschten Token namens „CarbonVote Token“ (CVT), stattete einen 500-Liquidita¨tspoolaufRaydiumausundnutzteu¨berWochenhinwegWashTrading,umeineku¨nstlichePreishistorienahe1-Liquiditätspool auf Raydium aus und nutzte über Wochen hinweg Wash-Trading, um eine künstliche Preishistorie nahe 1 aufzubauen. Sobald der manipulierte Preis von den Orakeln akzeptiert wurde, nutzte der Angreifer einen kompromittierten Admin-Schlüssel, um CVT auf Drift zu listen, erhöhte die Auszahlungslimits, hinterlegte Hunderte Millionen CVT als Kollateral zum manipulierten Preis und zog 285 Millionen $ aus fast 20 Vaults ab — alles in weniger als 20 Minuten.

TRM Labs verfolgte die Vorbereitung bis zum 11. März zurück, als 10 ETH von Tornado Cash abgehoben wurden und sich gegen 09:00 Uhr Pjöngjang-Zeit in Bewegung setzten. Die Zuschreibung deutet auf nordkoreanische, staatlich gesponserte Hacker hin — dieselbe Lazarus Group, die hinter dem 1,4-Milliarden-$-Hack der Bybit-Börse im Februar 2025 steckte.

Der Schatten der Lazarus Group

Nordkoreas Lazarus Group wirft weiterhin einen langen Schatten auf die Krypto-Sicherheit. Nachdem sie bei Bybit den größten Krypto-Raub der Geschichte begangen hatten — indem sie bösartiges JavaScript über einen kompromittierten Entwickler-Rechner in die Safe{Wallet}-Benutzeroberfläche einschleusten —, scheint die Gruppe ihren Ansatz für DeFi-Ziele verfeinert zu haben.

Der Drift-Protocol-Angriff kombinierte mehrere Vektoren (Erstellung gefälschter Token, Orakel-Manipulation, Kompromittierung von Admin-Schlüsseln) zu einer einzigen koordinierten Operation. Chainalysis berichtete, dass Krypto-Diebstähle im Jahr 2025 insgesamt 3,4 Milliarden $ erreichten, wobei die Lazarus Group für einen erheblichen Teil verantwortlich war. Das Muster von 2026 deutet darauf hin, dass die Gruppe verstärkt DeFi-Protokolle ins Visier nimmt, bei denen Single Points of Failure im Schlüsselmanagement Angriffsflächen schaffen, die mit zentralisierten Börsen vergleichbar sind.

Von Code-Audits zu Infrastruktur-Audits

Die Daten aus Q1 zwingen zu einem Überdenken der Sicherheitsansätze in der Branche. Smart-Contract-Audits — die für kritische Verträge über 150.000 kostenko¨nnen,wobeiformaleVerifizierungen200.000kosten können, wobei formale Verifizierungen 200.000 überschreiten — bleiben notwendig, sind aber zunehmend unzureichend.

Moderne Sicherheitsbewertungen im Jahr 2026 wurden erweitert und umfassen nun Code-Reviews, statische Analysen, Invarianten-Tests, Modellierung ökonomischer Angriffe, Orakel-Stresstests, Überprüfung des Schlüsselmanagements, Audits der Governance-Konfiguration, Analysen von Cross-Chain-Vertrauensgrenzen, Laufzeitüberwachung und Incident-Response-Planung. Automatisierte Audits finden etwa 70 – 80 % der Low-Level-Fehler, aber die verheerendsten Angriffe in Q1 nutzten die Zwischenräume aus — kompromittierte Entwicklergeräte, falsch konfigurierte Cloud-IAM-Richtlinien und architektonische Überabhängigkeit von einzelnen Signierschlüsseln.

Die entstehende Sicherheitshierarchie ist klar:

  • Smart-Contract-Bugs werden seltener, da sich die Tools verbessern (formale Verifizierung, Fuzzing, mehrere unabhängige Audits).
  • Orakel-Manipulation bleibt bestehen, wo immer dünne Liquiditätspools Preisdaten für Lending-Protokolle liefern.
  • Angriffe auf Private Keys und Infrastruktur sind der am schnellsten wachsende Vektor und nutzen die menschliche und operative Ebene aus, die kein Code-Audit beheben kann.
  • Social Engineering bleibt die nach Dollarwert teuerste Angriffskategorie.

Was Protokolle jetzt tun sollten

Die Verschiebung von On-Chain- zu Off-Chain-Angriffsvektoren erfordert eine entsprechende Anpassung der Verteidigungsstrategie.

Schlüsselmanagement: Treasury-Schlüssel, die auf Geräten gespeichert sind, die für den täglichen Betrieb der Geschäftsführung genutzt werden, stellen ein inakzeptables Risiko dar. Air-Gapped Hardware Wallets, Multi-Signatur-Schemata mit geografischer Verteilung und zeitgesperrte Transaktionen für große Bewegungen sind keine optionalen Best Practices mehr — sie sind Grundvoraussetzungen.

Cloud-Infrastruktur: Jedes Protokoll, das Signierschlüssel in Cloud-KMS-Umgebungen speichert, muss davon ausgehen, dass diese Umgebungen Ziele sind. Defense-in-Depth-Strategien, einschließlich Hardware-Sicherheitsmodulen (HSM), Härtung von IAM-Richtlinien und Anomalieerkennung bei der Schlüsselnutzung, sollten Standard sein.

On-Chain-Leitplanken: Der Resolv-Exploit gelang teilweise, weil der Smart Contract keine maximale Prägeobergrenze hatte — er verifizierte lediglich, dass eine gültige Signatur vorlag. Programmatische Limits für kritische Operationen (Prägen, Auszahlungen, Admin-Änderungen) bieten ein Sicherheitsnetz, selbst wenn Schlüssel kompromittiert werden.

Orakel-Resilienz: Protokolle sollten Mindestliquiditätsschwellen, mehrere unabhängige Preisquellen und zeitgewichtete Durchschnittspreise (TWAPs) verlangen, um Manipulationen bei neu gelisteten oder wenig gehandelten Assets zu widerstehen.

Ausblick: Q2 2026 und darüber hinaus

Der Rückgang der DeFi-Hack-Verluste um 89 % im Jahresvergleich sieht ermutigend aus, bis man den Bybit-Ausreißer berücksichtigt, der die Zahlen von 2025 verzerrt. Zieht man den 1,4-Milliarden-BybitHackab,lagendieDeFiVerlusteinQ12025beietwa180Millionen-Bybit-Hack ab, lagen die DeFi-Verluste in Q1 2025 bei etwa 180 Millionen — was die 169 Millionen $ von Q1 2026 effektiv gleichbleibend und nicht dramatisch verbessert erscheinen lässt.

Da der 285-Millionen-$-Exploit von Drift Protocol bereits den ersten Tag im April markierte, beginnt Q2 auf einer düsteren Note. Sicherheitsexperten erwarten für 2026 noch fortschrittlichere Techniken: Diebstahl von Zugangsdaten, Social Engineering, KI-gestützte Aufklärung und zunehmend raffinierte Infrastruktur-Exploits.

Die DeFi-Industrie hat das Problem offensichtlicher Smart-Contract-Bugs weitgehend gelöst. Das Problem, das sie nicht gelöst hat — und das Q1 2026 unübersehbar gemacht hat —, ist, dass die gefährlichsten Angreifer nicht mehr versuchen, Ihren Code zu überlisten. Sie versuchen, Ihre Schlüssel zu stehlen.

BlockEden.xyz bietet Blockchain-API-Dienste auf Enterprise-Niveau mit integrierter Sicherheitsüberwachung und Infrastrukturhärtung. Für Teams, die DeFi-Protokolle entwickeln und eine resiliente Node-Infrastruktur benötigen: Entdecken Sie unseren API-Marktplatz, um auf Fundamenten zu bauen, die auf Dauer ausgelegt sind.

Share on Twitter