Web3-Chaos trifft hart: Millionen in nur zwei Wochen im Jahr 2026 abgezogen – Bericht

Extropy berichtet im Januar 2026 über größere Krypto-Hacks. Truebit verliert 26 Mio. $, Ledger-Datenpanne offenbart Nutzer, und Phishing-Angriffe nehmen zu.

Die ersten zwei Wochen des Jahres 2026 brachten eine Welle von Sicherheitsvorfällen auf Web3-Plattformen.

Extropy veröffentlichte seinen Security Bytes-Bericht, der diese Ereignisse dokumentiert. Die Ergebnisse zeichnen ein beunruhigendes Bild der aktuellen Bedrohungslage.

Laut Bericht setzten Angreifer ihre Aktivitäten auch während der Feiertage fort. Der Schaden reichte von Mehrmillionen-Dollar-Exploits bis hin zu ausgeklügelten Phishing-Kampagnen.

Truebit Protocol verliert $26 Millionen durch Legacy-Code-Fehler

Der erste größere Vorfall des Jahres traf das Truebit Protocol am 8. Januar. Ein Angreifer leitete etwa $26 Millionen ab, was Extropy als einen „Zombie-Code“-Exploit bezeichnet.

Die Schwachstelle resultierte aus einem Integer-Overflow in Legacy-Smart-Contracts. Diese älteren Verträge verfügten nicht über die nativen Overflow-Schutzmechanismen moderner Solidity-Versionen. Der Angreifer prägte Millionen von TRU-Token zu nahezu keinen Kosten.

Nach der Erstellung fluteten die Token zurück in das Protokoll. Alle verfügbaren Liquiditäten verschwanden innerhalb von Stunden. Der TRU-Tokenpreis brach in nur 24 Stunden um fast 100 % ein.

Extropy stellt fest, dass der Angreifer sofort 8.535 ETH durch Tornado Cash transferierte. Sicherheitsfirmen verbanden die Wallet später mit einem früheren Exploit des Sparkle Protocol. Dies deutet auf einen wiederholten Täter hin, der gezielt verlassene Verträge angreift.

Der Bericht warnt, dass Legacy-Verträge eine kritische Schwachstelle bleiben. Projekte müssen alte Codes entweder aktiv überwachen oder deprecated halten.

TMXTribe verliert 1,4 Mio. $ in 36 Stunden

Zwischen dem 5. und 7. Januar erlitt TMXTribe einen langsameren, aber ebenso verheerenden Angriff. Das GMX-Fork auf Arbitrum verlor über 36 Stunden hinweg 1,4 Millionen Dollar.

Extropy beschreibt den Exploit als mechanisch einfach. Eine Schleife prägte LP-Token, tauschte sie gegen Stablecoins und unstakte wiederholt. Die nicht verifizierten Verträge verhinderten eine öffentliche Analyse des genauen Fehlers.

Was die Forscher am meisten beunruhigte, war die Reaktion des Teams. Laut Bericht blieben die Entwickler während des Angriffs aktiv on-chain. Sie setzten neue Verträge ein und führten Upgrades während des Abflusses durch.

Sie lösten jedoch keine Notfall-Pause aus. Stattdessen schickten sie eine On-Chain-Bounty-Nachricht an den Angreifer. Der Dieb ignorierte diese, bridgte die Gelder nach Ethereum und wusch sie durch Tornado Cash.

Extropy stellt die Frage, ob dies Fahrlässigkeit oder etwas Schlimmeres darstellt. Der Bericht betont, dass nicht verifizierte Verträge Warnzeichen für Nutzer sind.

In den ersten Tagen im Januar haben wir bereits das gesamte Spektrum der Web3-Fehlermodi gesehen: Zombie-Verträge, die Geld drucken, Governance, die in einen Bürgerkrieg umschlägt, nicht verifizierte Forks, die im Zeitlupentempo bluten, Lieferketten-Lecks, die Nutzer physischen Risiken aussetzen, Phishing, das… https://t.co/ev1flKir3D

— Extropy.io (@Extropy) 13. Januar 2026

Ledger-Kunden sind physischen Sicherheitsrisiken ausgesetzt

Am 5. Januar bestätigte Ledger eine Datenpanne, die seine Kunden betrifft. Die Panne entstand durch den Zahlungsabwickler Global-e, nicht durch Ledger-Hardware.

Kundenname, Versandadressen und Kontaktinformationen wurden kompromittiert. Extropy warnt, dass dies Szenarien für „Wrench-Attacks“ schafft. Angreifer verfügen nun über eine Liste von Besitzern von Krypto-Hardware-Wallets und deren Standorten.

Der Bericht weist auf eine bittere Ironie hin. Ledger wurde zuvor kritisiert, weil es für Sicherheitsfunktionen Gebühren erhob. Nun hat der Zahlungsabwickler die Nutzer ohne Kosten physischen Gefahren ausgesetzt.

Extropy rät Nutzern, sich auf ausgeklügelte Phishing-Versuche vorzubereiten. Die gestohlenen Daten ermöglichen es Angreifern, durch personalisierte Kommunikation falsches Vertrauen aufzubauen.

Verwandte Lektüre:****Ein Überblick über Sicherheitsvorfälle im Zusammenhang mit Ledger-Hardware-Wallets

MetaMask-Phishing-Kampagne drainiert 107.000 $

Sicherheitsforscher ZachXBT meldete eine ausgeklügelte Phishing-Aktion, die MetaMask-Nutzer ins Visier nimmt. Die Kampagne hat über 107.000 $ von Hunderten von Wallets abgezogen.

Betroffene erhielten professionelle E-Mails, die eine obligatorische 2026-Aktualisierung ankündigten. Die Nachrichten verwendeten legitime Marketing-Vorlagen und zeigten ein modifiziertes MetaMask-Logo. Extropy beschreibt das „Partyhut“-Fuchs-Design als überraschend festlich.

Der Betrug verzichtete darauf, nach Seed-Phrasen zu fragen. Stattdessen forderte er die Nutzer auf, Vertragsgenehmigungen zu unterschreiben. Dadurch konnten Angreifer unbegrenzt Token von den Wallets der Opfer bewegen.

Indem die einzelnen Diebstähle unter 2.000 $ blieben, vermied die Operation größere Warnmeldungen. Extropy betont, dass Unterschriften ebenso gefährlich sein können wie geleakte Schlüssel.