Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 270Smart-Contract-Bug

Rhea Finance Zwei-Tage-Margin-Drain

Rhea Finance auf NEAR verlor 18,4 Mio. $ nach zweitägiger Vorbereitung von Fake-Tokens, 423 Wallets und 8 Ref-Pools, die einen Slippage-Bug ausnutzten.

Datum
Opfer
Rhea Finance
Chain(s)
NEAR
Status
Teilweise zurückerlangt

Am 16. April 2026 erlitt das NEAR-basierte Kreditprotokoll Rhea Finance einen methodischen, zwei Tage vorbereiteten Exploit, der etwa 18,4 Millionen $ abzog — mehr als das Doppelte der ursprünglichen Schätzung von 7,6 Mio. $. Der Angreifer nutzte einen Slippage-Schutz-Fehler in der Margin-Trading-Funktion aus, der erwartete Outputs über sequenzielle Swap-Schritte falsch aufsummierte. Etwa 9 Mio. $ wurden zurückgewonnen über Tether-Einfrierungen und teilweise Rückgaben vom Angreifer.

Was geschah

Rhea Finances Margin-Trading-Produkt erlaubte Nutzern, gehebelte Trades durch Sequenzen von Swaps über das NEAR-DeFi-Ökosystem auszuführen. Die Funktion enthielt eine Slippage-Schutz-Prüfung, die die erwarteten Outputs über alle Swap-Schritte aufsummierte, um zu verifizieren, dass Nutzer Ende-zu-Ende einen fairen Wert erhielten.

Der fatale Fehler lebte in wie der Slippage-Schutz über sequenzielle Schritte berechnet wurde. Die Summationslogik hatte eine Lücke, die einem Angreifer erlaubte, Sequenzen zu konstruieren, in denen die aggregierte Slippage-Prüfung bestand, obwohl jeder einzelne Schritt von markt-fairen Werten abwich in für den Angreifer günstigen Richtungen.

Die zweitägige Vorbereitungsphase (13.-15. April 2026) war markant für ihre operative Disziplin:

  1. Erstellte ein Subject-Wallet als primäre Operationsadresse.
  2. Verteilte Mittel über 423 einzigartige Zwischen-Wallets, um die Finanzierungsquellen des Angriffs und Post-Angriff-Wasch-Pfade zu verschleiern.
  3. Deployte zweckgebaute Fake-Token-Verträge, die darauf ausgelegt waren, mit Rheas Margin-Trading-Logik auf spezifische ausnutzbare Weise zu interagieren.
  4. Erstellte 8 neue Handels-Pools auf Ref Finance (NEARs Haupt-DEX) — was die Liquiditätsorte bereitstellte, durch die der Angriff routen würde.
  5. Baute einen benutzerdefinierten Swap-Router, um die komplexe Sequenz von Operationen des Angriffs als eine einzige atomare Transaktion auszuführen.

Am 16. April wurde der Angriff ausgeführt:

  1. Nutzte die vorbereitete Infrastruktur, um Rheas Margin-Trading-Funktion mit der sorgfältig gestalteten Swap-Sequenz aufzurufen.
  2. Jeder Schritt in der Sequenz extrahierte Wert, den die Slippage-Summations-Logik nicht als kumulative Unterbepreisung erkennen konnte.
  3. Zog etwa 18,4 Mio. $ in gemischten Vermögenswerten ab — primär USDC, USDT, NEAR und Wrapped BTC.

Folgen

  • Rhea Finance pausierte betroffene Operationen innerhalb von Stunden.
  • Das Team veröffentlichte einen Untersuchungsbericht, der die zweitägige Vorbereitungszeitachse detaillierte.
  • Wiederherstellungsbemühungen:
    • 3,29 Mio. USDT direkt im Wallet des Angreifers von Tether eingefroren.
    • 3,359 Mio. USDC vom Angreifer nach On-Chain-Verhandlung zurückgegeben.
    • 1,564 Mio. NEAR vom Angreifer zurückgegeben.
    • 4,34 Mio. USDT eingefroren (zusätzliche separate Tether-Aktion).
  • Insgesamt wiederhergestellt oder eingefroren: etwa 9 Millionen $ der 18,4 Mio. $ Verlust — rund 49 %.

Warum es wichtig ist

Der Rhea-Finance-Vorfall ist der Lehrbuch-2026-Fall dafür, wie vorbereitungslastige Angriffe zur Norm im oberen Bereich der DeFi-Exploit-Sophistication werden. Die zweitägige Infrastruktur-Aufbauphase ähnelt staatlich-akteur-operativer Spionagepraxis mehr als opportunistischer Protokoll-Ausnutzung. Die Verteilung über 423 Wallets allein impliziert erhebliche Infrastrukturinvestition und operative Planung.

Die strukturellen Lehren:

  1. Slippage-Schutz-Logik muss gegen feindliche Sequenzen getestet werden, nicht nur normale Nutzer-Flows. Property-basiertes Testen, das jede mögliche Sequenz von Swap-Operationen versucht, ist der einzig zuverlässige Weg, diese Bug-Klasse aufzudecken.

  2. Attribution und Wiederherstellung sind 2026 bedeutsam effektiver geworden. Die Kombination aus Tethers Einfrier-Fähigkeit (die sich seit 2022 erheblich verhärtet hat), On-Chain-Ermittlern, die das Wallet-Netzwerk des Angreifers innerhalb von Stunden veröffentlichen, und dem allgemein verstandenen White-Hat-Verhandlungspfad bedeutet, dass selbst versierte Angreifer bedeutsame Einschränkungen ihres Cash-Outs gegenüberstehen.

  3. Der Pre-Attack-Infrastruktur-Fußabdruck ist selbst ein Verteidigungssignal — das Deployen von 423 Zwischen-Wallets und 8 neuen Ref-Finance-Pools ist die Art von Aktivität, die On-Chain-Überwachungsdienste erkennen können bevor der Angriff ausgeführt wird, bei ausreichender Raffinesse. Rheas Wiederherstellungsbemühung baute die Erkennungsmuster retrospektiv; sie prospektiv zu bauen, ist zunehmend die Grenze der DeFi-Sicherheit.

Die 49 %-Wiederherstellungsrate ist bemerkenswert hoch für einen DeFi-Vorfall über 20 Mio. $ und spiegelt die Kombination aus Tethers Durchsetzungs-Bereitschaft und der offensichtlichen strategischen Kalkulation des Angreifers wider, dass teilweise Rückgabe + Belohnung dem Versuch vollständigen Waschens vorzuziehen war angesichts aktueller On-Chain-Forensik-Fähigkeiten.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-rhea-finance-hack-april-2026
  2. [02]theblock.cohttps://www.theblock.co/post/397961/rhea-finance-post-mortem-exploit-losses-18-4-million-double-initial-estimates
  3. [03]coinedition.comhttps://coinedition.com/18-4m-rhea-finance-hack-built-over-two-days-post-mortem-reveals

Verwandte Einträge