Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 306RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 275Smart-Contract-Bug

Transit Finance Re-Exploit Mai 2026

Der Cross-Chain-Aggregator Transit Finance verlor am 13. Mai 2026 ~1,88 Mio. $ in DAI — ein zweiter Mehr-Millionen-Vorfall nach der Proxy-Approval-Bresche von Oktober 2022.

Datum
Chain(s)
Status
Teilweise zurückerlangt

Am 13. Mai 2026 wurde der Multi-Chain-Swap-Aggregator Transit Finance um rund 1,88 Millionen Dollar entleert — sein zweiter Mehr-Millionen-Vorfall nach der Proxy-Approval-Bresche von Oktober 2022, die Nutzer ~23 Mio. $ kostete. Die gestohlenen Mittel wurden als ~1,875 Mio. DAI an einer frischen Ethereum-Adresse (0x8a634DfA2609358849D7D65FFA270C8A57a8abA5) konsolidiert, wobei ein Teil des Drains aus dem Tron-Zweig der Cross-Chain-Infrastruktur des Protokolls stammte. Das Team erklärte, dass aktuelle Verträge sicher bleiben, sandte eine On-Chain-Nachricht an den Angreifer mit Angebot einer Bug-Bounty bei Rückgabe innerhalb von 48 Stunden und verpflichtete sich zur vollständigen Nutzerentschädigung.

Was geschah

Transit Finance operiert als Cross-Chain-Aggregationsschicht, die Swaps über DEXs auf mehreren Netzwerken routet und Bridging zwischen ihnen bereitstellt. PeckShield markierte den verdächtigen Fluss erstmals am 13. Mai. Der entleerte Wert verschmolz in eine einzige Ethereum-Adresse als DAI, mit On-Chain-Spuren, die zeigten, dass der ursprüngliche Abfluss eine Tron-seitige Komponente hatte, bevor er gebridged wurde.

Die öffentliche Aussage des Teams, dass „aktuelle Verträge sicher bleiben" — kombiniert mit der begrenzten Größe relativ zum TVL — verweist die Grundursache auf einen spezifischen Integrations- oder Routing-Pfad statt auf eine umfassende Protokoll-Kompromittierung. Zum Zeitpunkt der öffentlichen Berichterstattung war der präzise Vektor nicht in einem formalen Post-Mortem offengelegt; das Geldwäsche-Muster (Tron-seitiger Ursprung, DAI-Konsolidierung auf Ethereum) ist konsistent mit dem Missbrauch einer Aggregator-seitigen Approval oder Router-Berechtigung statt einer frischen Signing-Key-Kompromittierung.

Nachwirkungen

  • On-Chain-Bounty-Angebot: Das Team veröffentlichte eine Nachricht an die Adresse des Angreifers mit einem prozentualen Bounty-Angebot und 48 Stunden für eine White-Hat-Lösung.
  • Nutzerentschädigungs-Zusage: Transit Finance verpflichtete sich, den vollen Verlust von 1,88 Mio. $ zu absorbieren, anstatt ihn an Nutzer weiterzugeben.
  • Keine öffentliche Antwort vom Angreifer; das konsolidierte DAI lag zunächst unangetastet an der frischen Ethereum-Wallet.
  • Der Vorfall ging in die laufende Mai-2026-Bridge-Exploit-Bilanz von PeckShield ein, die in der ersten Monatshälfte 328 Mio. $ über acht separate Bridge- oder Cross-Chain-Vorfälle überschritt.

Warum es zählt

Transit Finance ist ein Wiederholungsopfer: Der Vorfall vom Oktober 2022 war ein lehrbuchhafter Proxy-Vertrags-Approval-Bug, bei dem der Angreifer abgestandene TransitSwap-Allowances missbrauchte, um nutzergehaltene Tokens zu entleeren, und später nach On-Chain-Verhandlung teilweise erstattet wurde. Die Wiederholung von 2026 — in kleinerer absoluter Größe, aber bei derselben Protokollklasse — illustriert zwei Muster, die der Katalog wiederholt nachverfolgt hat:

  1. Cross-Chain-Aggregatoren tragen eine überdimensionale aggregierte Risikofläche — jede integrierte Chain, DEX und Bridge erweitert die Angriffsfläche, und das Protokoll hält typischerweise delegierte Approval-Macht über alle hinweg.
  2. Die Lücke 2022→2026 zwischen Vorfällen bei einem einzelnen Opfer spiegelt das breitere DeFi-Muster wider: Protokolle, die einen frühen Großvorfall überleben, re-architekturieren oft die spezifische Bug-Klasse, die sie traf, reduzieren aber selten die strukturelle Approval-und-Routing-Exposition, die den ursprünglichen Angriff möglich machte.

Im Mai-2026-Kontext — derselben Fünf-Tage-Fenster, das THORChain, die Verus-Ethereum-Bridge und Echo Protocol enthielt — ist Transits Vorfall der kleinste der vier, verstärkt aber die Monatsschlagzeile: Cross-Chain-Infrastruktur ist 2026 wieder das primäre Ziel opportunistischer und staatsnaher Angreifer, genau wie in der Wormhole / Nomad-Ära.

Quellen & On-Chain-Belege

  1. [01]crypto.newshttps://crypto.news/transit-finance-hack-drains-1-88m-from-cross-chain-protocol/
  2. [02]cryptobriefing.comhttps://cryptobriefing.com/defi-exploit-transit-finance/
  3. [03]cryptopolitan.comhttps://www.cryptopolitan.com/transit-finance-to-refund-hack-may-losses/
  4. [04]cryptotimes.iohttps://www.cryptotimes.io/2026/05/13/1-88m-drained-from-transit-finance-stolen-dai-sits-in-fresh-eth-wallet/

Verwandte Einträge