Am 16. Juli 2026 wurde DeFiTuna — ein Solana-basiertes Protokoll für gehebelten Handel und Lending — um etwa 580.000 US-Dollar erleichtert, als ein Angreifer eine Schwäche in der Lending-Logik ausnutzte, um unautorisierte Überweisungen aus dem USDC-Lending-Pool des Protokolls zu veranlassen.
Was geschah
DeFiTuna erlaubt Nutzern, in Lending-Pools einzuzahlen, deren Liquidität gehebelte Kreditpositionen an anderer Stelle der Plattform absichert. Statt Nutzer-Wallets zu kompromittieren, zu phishen oder einen privaten Schlüssel zu stehlen, zielte der Angreifer auf die eigenen Lending-Verträge des Protokolls und manipulierte die Buchhaltungslogik, um rund 580.000 US-Dollar in USDC ohne rechtmäßigen Anspruch aus dem Pool zu bewegen. Da die abgezogene Liquidität die Absicherung für Kreditnehmer war, hinterließen die Abhebungen den USDC-Pool mit einem Defizit — seine Verbindlichkeiten gegenüber Einlegern übersteigen nun die tatsächlich gehaltenen Vermögenswerte, dieselbe Fehlbetragsdynamik, die einen Bank-Run auslösen kann, wenn Nutzer sich beeilen, als Erste abzuheben. Bemerkenswert: DeFiTuna hatte 2025 ein unabhängiges Smart-Contract-Audit durch Sec3 abgeschlossen, doch die fehlerhafte Lending-Infrastruktur war Berichten zufolge nach diesem Audit erheblich verändert worden, und diese aktualisierten Verträge waren nicht Teil der ursprünglichen Prüfung — eine Lücke, die den geänderten Codepfad ungeprüft ließ.
Konsequenzen
DeFiTuna erklärte, sein Team habe den Angriffsvektor rasch identifiziert und eingedämmt, Notfallmaßnahmen aktiviert, um die betroffenen Verträge zu isolieren und weitere Verluste zu verhindern; eine tiefergehende Untersuchung läuft. Zum Zeitpunkt der Berichterstattung waren die gestohlenen Mittel nicht zurückerlangt, und das Protokoll hatte nicht dargelegt, ob es den Pool absichern oder den Verlust unter den Einlegern sozialisieren würde. Der Vorfall liegt am unteren Ende der Exploit-Bilanz 2026 nach Dollarwert, doch das Defizit trifft direkt die USDC-Verleiher.
Warum es wichtig ist
DeFiTuna passt zu einem Muster von Angriffen auf Lending-Mechaniken und Protokollbuchhaltung im Jahr 2026 statt direkt auf dezentrale Börsen — dieselbe Fehlerklasse wie beim Vault-Buchhaltungs-Exploit von Summer.fi wenige Tage zuvor und beim orakelgespeisten Lending-Abzug bei Bonzo Lend. Er ereignet sich zudem inmitten einer harten Phase für Solana-DeFi, nach der weitaus größeren Kompromittierung von Drift Protocol. Die Audit-Lücke ist die schärfste Lehre: Ein sauberes Audit deckt nur den geprüften Code ab, und Änderungen am sensibelsten Pfad eines Lending-Pools nach dem Audit öffnen genau das Risiko wieder, das die Prüfung schließen sollte.
Quellen & On-Chain-Belege
- [01]cryptotimes.iohttps://www.cryptotimes.io/2026/07/17/solana-protocol-defituna-hit-by-580k-exploit-usdc-pool-left-short/
- [02]cryptobriefing.comhttps://cryptobriefing.com/defituna-lending-pools-exploited-580k/
- [03]hokanews.comhttps://www.hokanews.com/2026/07/defituna-hack-rocks-solana-as-580k.html