Transit Finance Re-Exploit Mai 2026
Der Cross-Chain-Aggregator Transit Finance verlor am 13. Mai 2026 ~1,88 Mio. $ in DAI — ein zweiter Mehr-Millionen-Vorfall nach der Proxy-Approval-Bresche von Oktober 2022.
- Datum
- Opfer
- Transit Finance
- Status
- Teilweise zurückerlangt
Am 13. Mai 2026 wurde der Multi-Chain-Swap-Aggregator Transit Finance um rund 1,88 Millionen Dollar entleert — sein zweiter Mehr-Millionen-Vorfall nach der Proxy-Approval-Bresche von Oktober 2022, die Nutzer ~23 Mio. $ kostete. Die gestohlenen Mittel wurden als ~1,875 Mio. DAI an einer frischen Ethereum-Adresse (0x8a634DfA2609358849D7D65FFA270C8A57a8abA5) konsolidiert, wobei ein Teil des Drains aus dem Tron-Zweig der Cross-Chain-Infrastruktur des Protokolls stammte. Das Team erklärte, dass aktuelle Verträge sicher bleiben, sandte eine On-Chain-Nachricht an den Angreifer mit Angebot einer Bug-Bounty bei Rückgabe innerhalb von 48 Stunden und verpflichtete sich zur vollständigen Nutzerentschädigung.
Was geschah
Transit Finance operiert als Cross-Chain-Aggregationsschicht, die Swaps über DEXs auf mehreren Netzwerken routet und Bridging zwischen ihnen bereitstellt. PeckShield markierte den verdächtigen Fluss erstmals am 13. Mai. Der entleerte Wert verschmolz in eine einzige Ethereum-Adresse als DAI, mit On-Chain-Spuren, die zeigten, dass der ursprüngliche Abfluss eine Tron-seitige Komponente hatte, bevor er gebridged wurde.
Die öffentliche Aussage des Teams, dass „aktuelle Verträge sicher bleiben" — kombiniert mit der begrenzten Größe relativ zum TVL — verweist die Grundursache auf einen spezifischen Integrations- oder Routing-Pfad statt auf eine umfassende Protokoll-Kompromittierung. Zum Zeitpunkt der öffentlichen Berichterstattung war der präzise Vektor nicht in einem formalen Post-Mortem offengelegt; das Geldwäsche-Muster (Tron-seitiger Ursprung, DAI-Konsolidierung auf Ethereum) ist konsistent mit dem Missbrauch einer Aggregator-seitigen Approval oder Router-Berechtigung statt einer frischen Signing-Key-Kompromittierung.
Nachwirkungen
- On-Chain-Bounty-Angebot: Das Team veröffentlichte eine Nachricht an die Adresse des Angreifers mit einem prozentualen Bounty-Angebot und 48 Stunden für eine White-Hat-Lösung.
- Nutzerentschädigungs-Zusage: Transit Finance verpflichtete sich, den vollen Verlust von 1,88 Mio. $ zu absorbieren, anstatt ihn an Nutzer weiterzugeben.
- Keine öffentliche Antwort vom Angreifer; das konsolidierte DAI lag zunächst unangetastet an der frischen Ethereum-Wallet.
- Der Vorfall ging in die laufende Mai-2026-Bridge-Exploit-Bilanz von PeckShield ein, die in der ersten Monatshälfte 328 Mio. $ über acht separate Bridge- oder Cross-Chain-Vorfälle überschritt.
Warum es zählt
Transit Finance ist ein Wiederholungsopfer: Der Vorfall vom Oktober 2022 war ein lehrbuchhafter Proxy-Vertrags-Approval-Bug, bei dem der Angreifer abgestandene TransitSwap-Allowances missbrauchte, um nutzergehaltene Tokens zu entleeren, und später nach On-Chain-Verhandlung teilweise erstattet wurde. Die Wiederholung von 2026 — in kleinerer absoluter Größe, aber bei derselben Protokollklasse — illustriert zwei Muster, die der Katalog wiederholt nachverfolgt hat:
- Cross-Chain-Aggregatoren tragen eine überdimensionale aggregierte Risikofläche — jede integrierte Chain, DEX und Bridge erweitert die Angriffsfläche, und das Protokoll hält typischerweise delegierte Approval-Macht über alle hinweg.
- Die Lücke 2022→2026 zwischen Vorfällen bei einem einzelnen Opfer spiegelt das breitere DeFi-Muster wider: Protokolle, die einen frühen Großvorfall überleben, re-architekturieren oft die spezifische Bug-Klasse, die sie traf, reduzieren aber selten die strukturelle Approval-und-Routing-Exposition, die den ursprünglichen Angriff möglich machte.
Im Mai-2026-Kontext — derselben Fünf-Tage-Fenster, das THORChain, die Verus-Ethereum-Bridge und Echo Protocol enthielt — ist Transits Vorfall der kleinste der vier, verstärkt aber die Monatsschlagzeile: Cross-Chain-Infrastruktur ist 2026 wieder das primäre Ziel opportunistischer und staatsnaher Angreifer, genau wie in der Wormhole / Nomad-Ära.
Quellen & On-Chain-Belege
- [01]crypto.newshttps://crypto.news/transit-finance-hack-drains-1-88m-from-cross-chain-protocol/
- [02]cryptobriefing.comhttps://cryptobriefing.com/defi-exploit-transit-finance/
- [03]cryptopolitan.comhttps://www.cryptopolitan.com/transit-finance-to-refund-hack-may-losses/
- [04]cryptotimes.iohttps://www.cryptotimes.io/2026/05/13/1-88m-drained-from-transit-finance-stolen-dai-sits-in-fresh-eth-wallet/