TrustedVolumes-Exploit: 6,7 Millionen Dollar durch

Die jüngste Sicherheitslücke im DeFi-Sektor traf den Liquiditätsanbieter und Market Maker TrustedVolumes. Ein Angreifer erbeutete nach Unternehmensangaben rund 6,7 Millionen US-Dollar in verschiedenen Kryptoassets – darunter Wrapped Ethereum (WETH), Wrapped Bitcoin (WBTC), USDT und USDC. Der Vorfall ereignete sich am späten Donnerstagabend und wurde unter anderem von den Blockchain-Sicherheitsfirmen PeckShield und Blockaid bestätigt.

Schwachstelle in der Signaturlogik

Der Angriff nutzte eine Schwachstelle in der sogenannten Signature Validation Logic des Protokolls. Konkret handelte es sich um einen von TrustedVolumes kontrollierten, kundenspezifischen RFQ-Swap-Proxy (Request for Quote). Der Crypto-Researcher Humphrey analysierte den Vorfall auf X: „Der Custom-RFQ-Swap-Proxy-Contract enthält eine Funktion zur Verwaltung der Whitelist autorisierter Order-Signer.“ Solche Whitelist-Mechanismen seien in DeFi üblich – aber entscheidend sei hier: „Diese Registrierungsfunktion ist öffentlich und hat keinerlei Berechtigungsmodifikatoren.“

Die Folge: Der Angreifer konnte sich selbst als autorisierten Signierer eintragen. Humphreys Vergleich ist drastisch, aber zutreffend: „Da jede externe Adresse diese Funktion aufrufen kann, ist es, als würde man jedem eine Kopie des Tresorschlüssels geben.“

Altbekannter Angreifer, neues Verfahren

Interessant: Der mutmaßliche Täter ist kein Unbekannter. Bereits im März 2025 hatte derselbe Hacker rund fünf Millionen Dollar aus dem 1inch Fusion V1 Settlement Contract erbeutet – wobei TrustedVolumes damals das primäre Opfer war. Allerdings unterschieden sich die Angriffe technisch deutlich. Während 2025 eine Low-Level-EVM-Speichermanipulation ausgenutzt wurde, lag die Schwachstelle diesmal in der unzureichend geschützten Whitelist-Funktion.

Damals reagierte der Hacker kooperativ: Er nahm aktiv Verhandlungen auf und gab die gestohlenen Gelder gegen ein White-Hat-Bounty zurück. Nun signalisiert TrustedVolumes erneut Gesprächsbereitschaft: „Wir sind offen für konstruktive Gespräche über ein Bug-Bounty und eine für beide Seiten akzeptable Lösung.“

1inch distanziert sich

Der DeFi-Aggregator 1inch, auf dessen Plattform TrustedVolumes als Liquiditätsanbieter aktiv ist, stellte umgehend klar: Die eigenen Systeme, die Infrastruktur und die Nutzergelder seien nicht betroffen. TrustedVolumes operiere als unabhängiger Liquiditätsanbieter, der von mehreren Protokollen genutzt werde – die Partnerschaft mit 1inch sei nicht exklusiv.

April: Rekordverluste im DeFi-Sektor

Der Exploit reiht sich in eine Welle schwerer Angriffe ein. Laut PeckShield verzeichnete der Kryptosektor im April 2025 insgesamt 40 größere Hacks, die zusammen rund 647 Millionen Dollar abfließen ließen. Das entspricht einem Anstieg von 1.140 Prozent im Vergleich zum März (52,2 Millionen Dollar) und mehr als einer Verdreifachung der Verluste aus dem gesamten ersten Quartal 2026 (165 Millionen Dollar).

Allein die beiden größten Vorfälle des Monats – Drift Protocol (285 Millionen Dollar) und KelpDAO (290 Millionen Dollar) – machten 91 Prozent der April-Verluste aus. Beide Angriffe zählen mittlerweile zu den zehn schwersten Hacks seit 2021.

Einordnung für Anleger

Der Fall TrustedVolumes zeigt einmal mehr, wie verletzlich selbst etablierte DeFi-Protokolle gegenüber scheinbar trivialen Programmierfehlern sind. Eine öffentliche Funktion ohne Berechtigungsprüfung – das ist ein Fehler, der in der klassischen Softwareentwicklung als Anfängerfehler gilt. Dass der Angreifer exakt denselben Akteur wie beim 1inch-Exploit zu treffen scheint, unterstreicht die mangelnde Nachhaltigkeit von einmaligen White-Hat-Lösungen. Für Anleger im DACH-Raum bleibt relevant: Solche Angriffe können auch dann steuerliche Folgen haben, wenn sie nicht direkt selbst betroffen sind – etwa wenn der Verlust eines Liquiditätsanbieters die Rendite von DeFi-Strategien mindert. Die BaFin beobachtet die Entwicklungen im Bereich dezentraler Finanzmärkte mit wachsender Aufmerksamkeit.