Direkt zum Hauptinhalt

Bonk.fun Domain-Hijack: Front-End-Angriffe sind der am schnellsten wachsende Bedrohungsvektor für Krypto

· 10 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Am 12. März 2026 verwandelte sich ein community-gesteuertes Solana-Launchpad, das täglich Gebühren in Höhe von Hunderttausenden von Dollar verarbeitet, kurzzeitig in eine Wallet-Draining-Falle – und die Smart Contracts, die es antreiben, wurden nie berührt. Bonk.fun, die von Raydium und der BONK DAO unterstützte Meme-Coin-Plattform der Marke letsBONK, erlebte ein Domain-Hijacking, bei dem eine gefälschte „Nutzungsbedingungen“-Signaturaufforderung in das Front-End eingeschleust wurde und etwa 35 Wallets geleert wurden, bevor das Team den Vorfall bemerkte. Die Angreifer benötigten keinen Zero-Day. Sie brauchten einen Hostnamen.

Diese einzige Stunde des Chaos verdeutlicht das, was Sicherheitsteams im DeFi-Bereich seit 2023 flüstern und seit dem 1,4 Milliarden Dollar schweren Bybit-Raub lautstark verkünden: Der Solidity-Code ist nicht mehr das leichteste Ziel. Es ist das Front-End. Und der kollektive blinde Fleck der Branche kostet die Nutzer mehr als jeder Smart-Contract-Exploit in der Geschichte.

Die Anatomie eines Front-End-Angriffs

Um zu verstehen, warum Bonk.fun weit über seine bescheidenen finanziellen Auswirkungen hinaus von Bedeutung ist, muss man verstehen, was angegriffen wurde – und was nicht.

Die Smart Contracts von Bonk.fun, die On-Chain-Logik, die Token prägt und Liquidität über Raydium leitet, funktionierten während des gesamten Vorfalls genau wie vorgesehen. Die Blockchain hat nie gelogen. Was lügte, war die Benutzeroberfläche.

Die Angreifer erlangten die Kontrolle über das Domain-Konto des Teams, wahrscheinlich durch kompromittierte Zugangsdaten auf Ebene des Registrars oder Name-Servers. Mit der Kontrolle über das DNS konnten sie bonk.fun auf ihren eigenen Server umleiten – oder, noch subtiler, bösartigen JavaScript-Code in die Seite einschleusen, die die Nutzer bereits besuchten. Der Payload war elegant: Ein „Nutzungsbedingungen“-Banner forderte die Besucher auf, eine routinemäßige Wallet-Nachricht zu signieren, um die Website weiterhin nutzen zu können. Die Signaturanfrage sah gewöhnlich aus. Die Wallets meldeten sich. Die Nutzer klickten auf „Genehmigen“.

Diese Signatur war keine Bestätigung der Nutzungsbedingungen. Es war ein eth_signTypedData-Permit, das den Angreifern eine unbegrenzte Ausgabegenehmigung für die Token des Nutzers erteilte. Sobald die Signatur vorlag, fegte ein Drainer-Contract das Wallet in einer einzigen Transaktion leer. Bis Browser-Sicherheitsanbieter die Domain markiert hatten, waren etwa 35 Wallets geleert. Die schnelle Erkennung durch das Team hielt die Verluste nach eigener Beschreibung des Bonk-Teams „minimal“, aber der Angriffsvektor selbst wurde auf verheerende Weise bewiesen.

Warum 100 % der jüngsten hochkarätigen Exploits auf Front-Ends abzielen

Bonk.fun ist kein Einzelfall. Es ist der jüngste Eintrag in einem Muster der Jahre 2025–2026, das so konsistent ist, dass es sich mittlerweile wie eine Taxonomie liest:

  • Februar 2025 – Kompromittierung von Bybit Safe{Wallet}. Die Lazarus-Gruppe aus Nordkorea manipulierte mittels Social Engineering die macOS-Workstation eines Safe-Entwicklers, stahl AWS-Zugangsdaten und schleuste bösartigen JavaScript-Code in die Benutzeroberfläche von Safe{Wallet} ein, der nur aktiviert wurde, wenn die Signierer des Cold Wallets von Bybit eine Transaktion genehmigten. Verlust: 1,4 Milliarden $ in ETH – der größte Krypto-Diebstahl, der jemals verzeichnet wurde.
  • 2024–2025 – KuCoin DNS-Hijack. Angreifer fingen Anmeldedaten ab und schöpften Gelder ab, was zu Verlusten von etwa 52 Millionen $ beitrug.
  • Dezember 2025 – Trust Wallet Chrome-Erweiterung. Ein bösartiges Update, das über den offiziellen Extension Store ausgeliefert wurde, extrahierte Wallet-Daten und stahl etwa 7 Millionen $ von Hunderten von Nutzern, bevor es entfernt wurde.
  • 2023 – Curve Finance DNS-Angriff. Eine Kompromittierung des Name-Servers bei der Domain von Curve leitete curve.fi auf ein bösartiges Front-End um und forderte Genehmigungen an, die etwa 575.000 $ absaugten, obwohl das Backend unberührt blieb.
  • 2021 – BadgerDAO Cloudflare-Exploit. Durch die Kompromittierung eines Cloudflare Workers API-Keys konnten Angreifer Skripte zur Ernte von Genehmigungen in das Badger-Front-End einschleusen und so etwa 120 Millionen $ stehlen.

Jeder dieser Vorfälle umging die Sicherheit der Smart Contracts. Jeder von ihnen nutzte etwas aus, das die Krypto-Industrie nicht kontrolliert: DNS-Registrare, CDN-Anbieter, Extension Stores, Endpunkte für Entwickler, Build-Pipelines. Das Muster ist unangenehm, weil es ehrlich ist – die Web2-Infrastruktur ist der Sicherheitsboden von Web3, und dieser Boden ist voller Löcher.

Die Daten: Wallet-Drainer nehmen ab, aber die Angriffsfläche vergrößert sich

Auf den ersten Blick erzählen die Zahlen eine beruhigende Geschichte. Chainalysis und Tracker des Drainer-Ökosystems berichteten, dass die gesamten Phishing-Verluste durch Wallet-Drainer im Jahr 2025 auf **83,85 Millionen gesunkensindeinRu¨ckgangum83** gesunken sind – ein **Rückgang um 83 %** gegenüber fast 494 Millionen im Jahr 2024. Die Zahl der Opfer sank um 68 % auf etwa 106.000.

Doch wenn man herauszoomt, ergibt sich ein anderes Bild:

  • Hacks persönlicher Wallets erreichten im Jahr 2025 713 Millionen $, womit individuelle Wallets die größte Verlustkategorie in Krypto darstellen.
  • **Die gesamten Web3-Verluste stiegen im Jahr 2025 auf etwa 2,71–2,94 Milliarden ,gegenu¨ber2,01Milliarden**, gegenüber 2,01 Milliarden im Jahr 2024, basierend auf kombinierten Schätzungen von Chainalysis, PeckShield und SlowMist.
  • Permit-basierte Angriffe machten 38 % der Verluste bei Vorfällen über 1 Million $ aus – Signaturen, nicht Code, sind heute die primäre Methode zur Exfiltration.
  • Bösartige EIP-7702-Signaturen tauchten innerhalb weniger Wochen nach dem Pectra-Upgrade von Ethereum auf und ermöglichten es Angreifern, mehrere bösartige Aktionen in einer einzigen Nutzergenehmigung zu bündeln. Zwei Fälle im August 2025 kosteten allein 2,54 Millionen $.

Die Drainer-Wirtschaft schrumpfte nicht, weil die Verteidigung besser wurde. Sie schrumpfte, weil die Angreifer in den gehobenen Markt abwanderten – von Retail-Drainern, die hier 200 unddort2.000und dort 2.000 stahlen, zu gezielten Front-End-Kompromittierungen auf staatlichem Niveau gegen hochwertige Custodial- und institutionelle Ziele. Allein der Bybit-Raub war das 17-fache der gesamten weltweiten Drainer-Verluste für 2025.

DNS, CDNs und der Trust-Stack, der Krypto nicht gehört

Hier ist die unbequeme Wahrheit, mit der ein Protokollteam konfrontiert wird, wenn es versucht, sein Frontend abzusichern: Der Großteil der Sicherheitsfläche liegt nicht in ihrer Kontrolle.

Ein typisches DeFi-Deployment berührt mindestens sieben Ebenen der Web2-Infrastruktur:

  1. Domain-Registrar (GoDaddy, Namecheap, Gandi) — die ultimative Instanz darüber, wer die Domain besitzt.
  2. Autoritativer DNS-Anbieter (Cloudflare, Route53, NS1) — das System, das Browsern mitteilt, wohin die Domain zeigt.
  3. CDN- und Edge-Netzwerk (Cloudflare, Fastly, Akamai) — der Server, der tatsächlich das HTML und JavaScript ausliefert.
  4. Hosting-Anbieter (AWS, GCP, Vercel) — dort, wo das kompilierte Frontend liegt.
  5. Build-Pipeline (GitHub Actions, Vercel, Netlify) — welche die Artefakte signiert und bereitstellt.
  6. Drittanbieter-Skripte (Analytics, Wallet-Connectoren, Monitoring) — Code, den das Team nicht geschrieben hat, aber dennoch mit ausliefert.
  7. Browser-Erweiterungs-Stores (Chrome Web Store, Firefox Add-ons) — der Auslieferungskanal für die Wallets selbst.

Ein Angreifer muss nur eine dieser Komponenten kompromittieren, um eine Signaturaufforderung auf dem Bildschirm des Benutzers einzufügen. Protokolle, die 100 Milliarden $ an TVL verteidigen, sind strukturell von den schwächsten Zugangsdaten eines der sieben verschiedenen Anbieter abhängig – von denen die meisten das Konto eines DeFi-Teams genauso behandeln wie den Blog eines Hundesalons.

Das NIST hat schließlich im März 2026 seine DNS-Sicherheitsrichtlinien mit SP 800-81r3 aktualisiert und damit ein Dokument aus dem Jahr 2013 ersetzt. Es ist die erste substanzielle Aktualisierung auf Bundesebene seit über einem Jahrzehnt und drängt auf ECDSA und Ed25519 gegenüber RSA für DNSSEC. Das ist nützlich – aber die DNSSEC-Einführung bei Mainstream-Registraren bleibt so lückenhaft, dass die meisten Krypto-Protokolle sie nicht zuverlässig aktivieren können.

Der „Sichere Frontend-Standard“, den Krypto immer noch nicht hat

Die Smart-Contract-Sicherheit verfügt über eine Reifekurve: formale Verifizierung, Audits von Trail of Bits und OpenZeppelin, Bug-Bounties auf Immunefi, On-Chain-Monitoring von Hypernative und Forta. Ein gut finanziertes Protokoll im Jahr 2026 kann auf einen Merkle-Baum von Verteidigungsmaßnahmen um seinen On-Chain-Code verweisen.

Das Frontend hat nichts davon. Es gibt keine Entsprechung zu einem Audit-Bericht für die Registrar-Konfiguration eines Teams. Kein Industriestandard für Multi-Sig bei Domainnamen-Änderungen. Kein SOC 2 für ein Cloudflare-Dashboard. Kein On-Chain-Attest, dass das JavaScript, das ein Benutzer ausführt, mit der vom Team bereitgestellten Version übereinstimmt.

Einige vielversprechende Muster zeichnen sich ab:

  • Subresource Integrity (SRI)-Hashes, die Drittanbieter-Skripte auf bekannte Bytes fixieren.
  • Content Security Policy (CSP)-Header, die das Einschleusen von Inline-Skripten verhindern.
  • Signierte Frontend-Manifeste, die On-Chain veröffentlicht werden, damit Wallets verifizieren können, was sie ausführen.
  • IPFS-gehostete Frontends mit ENS-Auflösung, wie sie Uniswap und eine wachsende Anzahl von DEXs verwenden, was die DNS-Abhängigkeit verringert.
  • Wallet-seitige Transaktionssimulation (Rabby, MetaMask Snaps, Blowfish), die Benutzern zeigt, was eine Signatur tatsächlich bewirkt, bevor sie unterschreiben.
  • Durch Hardware-Keys geschützte Registrar-Konten, redundante DNS-Anbieter und eingeschränkte Build-Pipelines – die betriebliche Hygiene, die die Richtlinien von DomainSure und Sherlock für 2026 nun als Mindeststandard definieren.

Nichts davon ist standardisiert. Nichts davon ist vorgeschrieben. Und die meisten Protokolle, insbesondere die unkonventionellen Launchpads, auf denen ein Großteil der Meme-Coin-Aktivitäten stattfindet, gehen ohne jegliche dieser Maßnahmen an den Start.

Was Bonk.fun uns über die nächsten zwölf Monate verrät

Bonk.fun ist eine nützliche Fallstudie, gerade weil es sich nicht um einen Milliardenverlust handelt. Das Team hat den Hijack schnell erkannt. Die Verluste beschränkten sich auf Dutzende von Benutzern, nicht auf Tausende. Die Domain wurde innerhalb weniger Stunden zurückerlangt.

Aber die wirtschaftlichen Aspekte dahinter sind explosiv. Der Umsatz von letsBONK.fun stieg Anfang 2026 um mehr als 600 %, wobei die täglichen Gebühren Spitzenwerte von 352.793 $ erreichten. Die Plattform hat sich zu einem bedeutenden Liquiditäts-Router im Solana-Meme-Ökosystem entwickelt, und jeder Angreifer auf der Welt weiß nun, dass ihr Frontend der Pfad des geringsten Widerstands ist. Der nächste Hijack wird eine größere Plattform in einem ruhigeren Moment treffen, und wenn er erfolgreich ist, wird die 35-Wallet-Fußnote vom 12. März bescheiden wirken.

Die drei konkurrierenden Antworten der Branche sind bereits sichtbar:

  1. Perimeter-Härtung — mehr Hardware-Keys, mehr DNSSEC, mehr signierte Manifeste, mehr redundantes DNS. Der langsame Pfad.
  2. Wallet-seitige Verteidigung — Transaktionssimulation, Warnungen vor Blind-Signing und Drainer-Datenbanken, die bekannte bösartige Verträge kennzeichnen, bevor ein Benutzer unterschreibt. Der schnelle Pfad, aber vollständig abhängig von Wallet-Anbietern, die dies jeweils unterschiedlich implementieren.
  3. Architektonische Änderung — IPFS + ENS, vollständige On-Chain-Frontends und Account-Abstraction-Richtlinien, die das Signieren von unbegrenzten Freigaben (unbounded permits) einfach verweigern. Der einzige dauerhafte Pfad, aber am langsamsten umzusetzen.

Die unbequeme Realität ist, dass jedes Protokoll, das derzeit ein HTTPS-Frontend bereitstellt, strukturell exponiert ist, und kein Audit-Budget der Welt behebt das. Der Bonk.fun-Hijack wird bei größeren Zielen über Jahre hinweg wiederholt werden, bis sich die Branche auf ein Frontend-Äquivalent zu den Best Practices für Smart Contracts geeinigt hat.

Infrastruktur ist eine Sicherheitsentscheidung

Frontend-Angriffe haben eine unbequeme Wahrheit über Web3 ans Licht gebracht: Dezentralisierung auf der Chain bedeutet wenig, wenn Ihre Benutzer nur einen DNS-Eintrag davon entfernt sind, alles zu verlieren. Die Protokolle, die die nächste Welle überleben, werden diejenigen sein, die jede Web2-Abhängigkeit – Registrar, CDN, Extension-Kanal, RPC-Endpunkt – als Teil ihres Bedrohungsmodells betrachten und nicht als einen Posten in ihrer Lieferantenrechnung.

BlockEden.xyz betreibt RPC- und Indexer-Infrastrukturen für Sui, Aptos, Ethereum, Solana und mehr als ein Dutzend andere Chains, gehärtet mit redundanten Endpunkten, DDoS-Schutz und den betrieblichen Kontrollen, die institutionelle Teams benötigen, um ihr Backend außerhalb der Angriffsfläche zu halten. Entdecken Sie unseren API-Marktplatz, um auf einer Infrastruktur aufzubauen, die für ein feindseliges Web konzipiert ist.

Share on Twitter