Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 284RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 279Sonstiges

AFI Protocol afiUSD-Vault-Exploit

Ein Angreifer zog rund 480.000 USD aus dem afiUSD-Vault von AFI Protocol auf Ethereum ab und schleuste die Beute über Tornado Cash; die Ursache blieb zunächst offen.

Datum
Opfer
AFI Protocol
Chain(s)
Ethereum
Status
Mittel entwendet

Am 30. Mai 2026 verlor AFI Protocol etwa 480.000 US-Dollar, als ein Angreifer seinen afiUSD-Vault auf Ethereum ausnutzte. afiUSD ist das renditetragende Stablecoin-Produkt des Protokolls, das neben AFIs Proof-of-Reserve-Infrastruktur für Real-World-Assets vermarktet wird.

Was geschah

Der Angreifer leerte den afiUSD-Vault und begann mit der Geldwäsche: Rund 252.000 US-Dollar in DAI wurden über On-Chain-Trades in ETH getauscht, und etwa 150 ETH wurden anschließend über Tornado Cash geschleust, nachdem der Angreifer eine Zweit-Wallet mit einer kleinen Überweisung getestet hatte. AFI stoppte den betroffenen Vault, leitete eine Untersuchung ein und erklärte, mit Quantstamp, Cantina und SEAL 911 an der Verfolgung und Rückholung der gestohlenen Mittel zu arbeiten. Zum Zeitpunkt des Updates war der vollständige Exploit-Pfad nicht veröffentlicht, weshalb der Vorfall bis zur Post-Mortem nicht als bestätigter Oracle-, Schlüssel- oder Vault-Design-Fehler dargestellt werden sollte. AFI gab an, seine übrigen Systeme seien sicher, wobei mehr als 225 Millionen US-Dollar Total Value Locked unberührt blieben.

Folgen

AFI meldete die Adressen des Angreifers über SEAL 911 an zentralisierte Börsen und Ökosystem-Partner, um die Bewegung der Mittel einzufrieren, während die Verfolgung fortgesetzt wurde. Zum Zeitpunkt der Berichterstattung war keine Rückholung bestätigt, und die Nutzung von Tornado Cash durch den Angreifer macht die gewaschenen ETH schwer nachverfolgbar.

Warum es wichtig ist

Der afiUSD-Vorfall ist ein kleines, aber typisches Beispiel dafür, wie renditetragende Stablecoin-Vaults Risiko bündeln: Ein einzelner Vertrag, der gepoolte Einlagen hält, wird zum hochwertigen Ziel, und eine saubere Plünderung gefolgt von einem sofortigen Tornado-Cash-Sprung ist heute das Standard-Drehbuch. Er reiht sich neben andere Stablecoin- und Vault-Exploits von 2024–2026 wie Resupply und Abracadabra und unterstreicht, warum eine nicht offengelegte Ursache ein Grund zur Vorsicht und nicht zur Beruhigung ist — die relevante Frage ist nicht, ob 480.000 US-Dollar verloren gingen, sondern ob derselbe Fehler den Rest des TVL des Protokolls betrifft.

Quellen & On-Chain-Belege

  1. [01]cryptotimes.iohttps://www.cryptotimes.io/2026/06/09/afi-protocol-shares-incident-update-after-480k-exploit-begins-recovery/
  2. [02]cryptoadventure.comhttps://cryptoadventure.com/afiusd-vault-exploit-drains-480k-as-june-hack-run-continues/

Verwandte Einträge