Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 310RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 310Smart-Contract-Bug

Exploit im CLS-Vault von Cascade

Ein Angreifer entwendete rund 1,34 Mio. US-Dollar in USDC aus dem CLS-Vault von Cascade, einem von Polychain unterstützten Perpetuals-Protokoll auf Arbitrum.

Datum
Opfer
Cascade
Chain(s)
Status
Mittel entwendet

Am 16. Juli 2026 wurde Cascade — ein noch nicht gestartetes, von Polychain unterstütztes Perpetuals-Protokoll auf Arbitrum — um etwa 1,34 Millionen US-Dollar erleichtert, als ein Angreifer USDC aus seinem CLS-Liquiditäts-Vault abzog und dabei Einlagen traf, die Nutzer vor dem öffentlichen Start gesperrt hatten.

Was geschah

Cascade hatte im Dezember 2025 eine Seed-Runde über 15 Millionen US-Dollar unter Führung von Polychain und Variant eingeworben und befand sich noch in einer Phase nur mit Einladung. Die CLS (Cascade Liquidity Strategy) wird in der Dokumentation des Protokolls als die native Liquiditäts-Engine beschrieben, die Orderbuchtiefe und Liquidationsflüsse absichern soll. Vor dem öffentlichen Start hatten Nutzer einer Kampagne nur mit Einladung namens „First Wave" vorab USDC auf Arbitrum in den CLS-Vault eingezahlt, um Belohnungspunkte zu verdienen — Mittel, die bis zum Handelsstart gesperrt waren, sodass betroffene Einleger vor dem Angriff keine Möglichkeit zum Abzug hatten. Cascade bestätigte einen Exploit im CLS-Vault, der rund 1,34 Millionen USDC an Nutzergeldern abzog; die genaue Ursache auf Vertragsebene war zum Zeitpunkt der Berichterstattung noch nicht vollständig offengelegt. Der Angreifer bewegte die Beute anschließend chain-übergreifend, von Arbitrum nach Solana und weiter über das Relay-Protokoll nach Ethereum, und tauschte sie unterwegs in DAI — ein bevorzugtes Geldwäschemuster, da DAI nicht wie USDC von einem zentralen Emittenten eingefroren werden kann, dessen Adressen Circle auf eine Sperrliste setzen kann.

Konsequenzen

Da die abgezogenen CLS-Einlagen vorab zugeteilt und gesperrt waren, traf der Verlust unmittelbar die frühen First-Wave-Teilnehmer und nicht die aktive Handelsliquidität. Zum Zeitpunkt der Berichterstattung waren die gestohlenen Mittel nicht zurückerlangt, und der Tausch in DAI über Solana machte ein Einfrieren oder eine Rückholung unwahrscheinlich. Der Vorfall warf sofort einen Schatten auf Cascades geplanten öffentlichen Start und warf Fragen zur Sicherheitsprüfung eines Vaults auf, der Nutzerkapital hielt, bevor die Plattform überhaupt live war.

Warum es wichtig ist

Cascade ereignete sich kaum einen Tag nach Ostium, einer weiteren Arbitrum-Perpetuals-Plattform, die nach einem Orakel-Exploit pausiert wurde — zwei Treffer auf derselben Chain und im selben Sektor binnen 48 Stunden. Er unterstreicht ein wiederkehrendes Thema des Katalogs: Vor-Start- und Anreiz-Farming-Vaults bündeln Nutzerkapital in Verträgen, die noch keinem realen Angriffsdruck ausgesetzt waren, was sie zu attraktiven frühen Zielen macht. Die chain-übergreifende USDC-zu-DAI-Geldwäscheroute über Solana spiegelt den Ausstiegspfad des Summer.fi-Exploits wenige Tage zuvor wider und zeigt, wie Angreifer sich zunehmend auf nicht einfrierbare Vermögenswerte standardisieren, um Gewinne zu sichern, bevor Rückholbemühungen beginnen können.

Quellen & On-Chain-Belege

  1. [01]cryptotimes.iohttps://www.cryptotimes.io/2026/07/16/polychain-backed-cascade-hacked-for-1-34m-in-locked-user-funds/
  2. [02]protos.comhttps://protos.com/more-oracle-exploits-as-ostium-loses-over-20m/

Verwandte Einträge