Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 312RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 311Smart-Contract-Bug

Exploit der Lending-Pools von DeFiTuna

Ein Angreifer entwendete rund 580.000 US-Dollar in USDC aus den Lending-Pools von DeFiTuna auf Solana, indem er die Lending-Logik ausnutzte und den USDC-Pool im Defizit zurückließ.

Datum
Chain(s)
Status
Mittel entwendet

Am 16. Juli 2026 wurde DeFiTuna — ein Solana-basiertes Protokoll für gehebelten Handel und Lending — um etwa 580.000 US-Dollar erleichtert, als ein Angreifer eine Schwäche in der Lending-Logik ausnutzte, um unautorisierte Überweisungen aus dem USDC-Lending-Pool des Protokolls zu veranlassen.

Was geschah

DeFiTuna erlaubt Nutzern, in Lending-Pools einzuzahlen, deren Liquidität gehebelte Kreditpositionen an anderer Stelle der Plattform absichert. Statt Nutzer-Wallets zu kompromittieren, zu phishen oder einen privaten Schlüssel zu stehlen, zielte der Angreifer auf die eigenen Lending-Verträge des Protokolls und manipulierte die Buchhaltungslogik, um rund 580.000 US-Dollar in USDC ohne rechtmäßigen Anspruch aus dem Pool zu bewegen. Da die abgezogene Liquidität die Absicherung für Kreditnehmer war, hinterließen die Abhebungen den USDC-Pool mit einem Defizit — seine Verbindlichkeiten gegenüber Einlegern übersteigen nun die tatsächlich gehaltenen Vermögenswerte, dieselbe Fehlbetragsdynamik, die einen Bank-Run auslösen kann, wenn Nutzer sich beeilen, als Erste abzuheben. Bemerkenswert: DeFiTuna hatte 2025 ein unabhängiges Smart-Contract-Audit durch Sec3 abgeschlossen, doch die fehlerhafte Lending-Infrastruktur war Berichten zufolge nach diesem Audit erheblich verändert worden, und diese aktualisierten Verträge waren nicht Teil der ursprünglichen Prüfung — eine Lücke, die den geänderten Codepfad ungeprüft ließ.

Konsequenzen

DeFiTuna erklärte, sein Team habe den Angriffsvektor rasch identifiziert und eingedämmt, Notfallmaßnahmen aktiviert, um die betroffenen Verträge zu isolieren und weitere Verluste zu verhindern; eine tiefergehende Untersuchung läuft. Zum Zeitpunkt der Berichterstattung waren die gestohlenen Mittel nicht zurückerlangt, und das Protokoll hatte nicht dargelegt, ob es den Pool absichern oder den Verlust unter den Einlegern sozialisieren würde. Der Vorfall liegt am unteren Ende der Exploit-Bilanz 2026 nach Dollarwert, doch das Defizit trifft direkt die USDC-Verleiher.

Warum es wichtig ist

DeFiTuna passt zu einem Muster von Angriffen auf Lending-Mechaniken und Protokollbuchhaltung im Jahr 2026 statt direkt auf dezentrale Börsen — dieselbe Fehlerklasse wie beim Vault-Buchhaltungs-Exploit von Summer.fi wenige Tage zuvor und beim orakelgespeisten Lending-Abzug bei Bonzo Lend. Er ereignet sich zudem inmitten einer harten Phase für Solana-DeFi, nach der weitaus größeren Kompromittierung von Drift Protocol. Die Audit-Lücke ist die schärfste Lehre: Ein sauberes Audit deckt nur den geprüften Code ab, und Änderungen am sensibelsten Pfad eines Lending-Pools nach dem Audit öffnen genau das Risiko wieder, das die Prüfung schließen sollte.

Quellen & On-Chain-Belege

  1. [01]cryptotimes.iohttps://www.cryptotimes.io/2026/07/17/solana-protocol-defituna-hit-by-580k-exploit-usdc-pool-left-short/
  2. [02]cryptobriefing.comhttps://cryptobriefing.com/defituna-lending-pools-exploited-580k/
  3. [03]hokanews.comhttps://www.hokanews.com/2026/07/defituna-hack-rocks-solana-as-580k.html

Verwandte Einträge