145.000 US-Dollar Verlust durch Hacker, die Merkl für ungesicherte DeFi-Betrügereien nutzten

Hacker haben eine neue Methode gefunden, um Nutzer dezentraler Finanzplattformen (DeFi) auszunutzen. Dieses Mal nutzten sie Merkl, eine All-in-One-Plattform für DeFi-Anreize, um gefälschte, nicht verifizierte Kampagnen zu erstellen und die Einlagen der Nutzer abzuziehen. Der Betrug richtete sich gegen Nutzer von Sonic über das Euler-Protokoll und verursachte bereits Verluste von über 145.000 USD.

Hacker erstellen gefälschte Hochzins-Kampagnen

Laut dem DeFi-Nutzer YAM nutzte ein Angreifer die offene Struktur von Merkl, um falsche Kampagnen mit dreistelligen APR-Renditen zu erstellen. Der Betrug forderte Nutzer auf, USDC in einen scheinbar legitimen Euler-Vault auf Sonic einzuzahlen. Sobald die Nutzer ihre Gelder einzahlten, wurden diese vollständig vom Angreifer abgezogen.

Da Euler Finance ein erlaubnisfreies Protokoll ist, kann jeder Märkte ohne vorherige Genehmigung eröffnen. Der Angreifer nutzte diese Funktion, um einen gefälschten Markt zu starten – mit einem Token namens scUSD als Sicherheit und USDC als Schulden. Anschließend manipulierte er den Oracle-Preis, eine zentrale Datenquelle im DeFi-Bereich, und setzte ihn auf absurde 1 Mio. USD pro Token. Dadurch konnte er 700.000 USDC gegen nur einen scUSD leihen – was ihm die vollständige Kontrolle über die Vault-Gelder verschaffte.

So funktionierte der Betrug

Nachdem der gefälschte Markt live war, startete der Angreifer eine nicht verifizierte Kampagne auf Merkl. Er bewarb extrem hohe Renditen, um Einlagen anzuziehen. Nutzer, die USDC in die Kampagne einzahlten, sahen ihre Gelder ausgeliehen, in ETH getauscht und anschließend an das RAILGUN-Projekt übertragen – ein Datenschutzprotokoll, das häufig verwendet wird, um Transaktionen zu verschleiern.

On-Chain-Daten zeigen die Hauptadresse des Angreifers als 0x8ba913e…, wobei die Gelder schließlich an 0xa86399… gesendet wurden, bevor sie in RAILGUN verschwanden. Interessanterweise konnte ein Nutzer (0xc0f8fe…) seine Einlage rechtzeitig abheben, vermutlich, weil der Hacker den Vault zu diesem Zeitpunkt nicht aktiv überwachte.

Reaktionen der DeFi-Community

Nach dem Vorfall warnte YAM Nutzer davor, mit nicht verifizierten Merkl-Kampagnen zu interagieren, und forderte das Merkl-Team auf, stärkere Pop-up-Warnungen beim Einzahlen in solche Kampagnen einzuführen.

Michael Bentley, Mitbegründer und CEO von Euler Labs, bestätigte, dass der betroffene Vault deutlich als nicht verifiziert und als Sicherheitsrisiko gekennzeichnet war. Er erklärte, dass die Euler-Website nur dann Zugriff auf unbestätigte Vaults erlaubt, wenn Nutzer die Risiken manuell anerkennen. „Wir blockieren nun dauerhaft alle Links zu diesem Vault, um weiteren Missbrauch zu verhindern“, so Bentley.

Community-Mitglieder stellten zudem Fragen, wie DeFi-Nutzer prüfen können, ob der Oracle eines Marktes legitim ist. YAM erklärte, dass Oracles reale Preisdaten an DeFi-Anwendungen liefern. Diese werden meist von den Marktbetreibern kontrolliert und müssen sorgfältig eingerichtet werden. Schon ein kleiner Fehler – etwa eine falsche Dezimalstelle oder eine unsichere Multisig-Verwaltung – kann große Sicherheitslücken schaffen.

Forderungen nach stärkeren Sicherheitsmaßnahmen

Der Vorfall verdeutlicht ein wiederkehrendes Problem im DeFi-Bereich: das Gleichgewicht zwischen offener Innovation und Nutzersicherheit. Plattformen wie Merkl und Euler ermöglichen es jedem, Märkte zu erstellen oder ihnen beizutreten. Doch diese Offenheit bietet auch Angriffsfläche für Betrüger.

Obwohl Projekte unbestätigte Kampagnen klar kennzeichnen, zeigt die wachsende Zahl solcher Betrugsfälle, dass Warnungen allein nicht ausreichen. Nutzer fordern nun mehr Schutzmechanismen – etwa verpflichtende Verifizierungsschritte oder zusätzliche Bestätigungsabfragen, um Einlagen zu sichern.

Der 145.000-USD-Exploit dient als erneute Erinnerung: Selbst in der offenen Welt von DeFi bleibt Vorsicht die beste Verteidigung.