THORChain bestätigt Angriff auf Asgard-Vault mit Verlusten von rund 10,7 Millionen US-Dollar

15. Mai 2026

THORChain bestätigt Angriff auf Asgard-Vault mit Verlusten von rund 10,7 Millionen US-Dollar

Am 15. Mai 2026 bestätigte THORChain, dass einer seiner Asgard-Vaults kompromittiert wurde, was zu einem geschätzten Verlust von etwa 10,7 Millionen US-Dollar und einem vorübergehenden Handelsstopp führte, während das Team und die Node-Betreiber die Ursachen untersuchen und Abhilfemaßnahmen einleiten. Öffentliche Updates deuten darauf hin, dass Nutzerguthaben nicht die primäre Verlustquelle waren; stattdessen deuten erste Hinweise auf betroffene Protokoll-eigene Gelder hin, wobei automatisierte Sicherheitsmechanismen weitere Schäden begrenzt haben. Sie können die Mainstream-Berichterstattung über Cointelegraph und The Block verfolgen, sowie berichte, die sich auf den Vorfall konzentrieren, von The Defiant.

Dieses Ereignis ist wichtiger als nur ein einzelnes Protokoll: THORChain steht an der Schnittstelle von Cross-Chain-Liquidität, Validator-betriebener Sicherheit und hochwertiger Vault-Infrastruktur – ein Designbereich, der weiterhin sowohl Innovation als auch ausgeklügelte Angriffe anzieht.

Was geschah (Zeitstrahl – Überblick)

Basierend auf den eigenen Kommunikationsberichten von THORChain zum Vorfall und der Überwachung durch die Community sind die wichtigsten Punkte:

  • Ein einzelner Asgard-Vault zeigte Anzeichen einer Kompromittierung, und das Netzwerk ging schnell in eine Verteidigungsposition über, indem es den Handel und die ausgehenden Signierungen pausierte, um das Risiko weitergehender Geldtransfers zu reduzieren. Berichten zufolge wurde 1 von 6 Asgard-Vaults als betroffen eingestuft. Siehe die von The Defiant zusammengefassten Berichte und die marktweite Berichterstattung von Cointelegraph.
  • Automatisierte Erkennungs- und Stoppmechanismen aktivierten sich. THORChains Architektur unterstützt Netzwerk- und Ketten-weite Stopps über Governance und Sicherheitsparameter, die dazu bestimmt sind, ausgehende Aktivitäten einzustellen, wenn Risikoschwellen überschritten werden (Dokumentation: Network Halts).
  • Slashing wurde für die beteiligten Nodes ausgelöst aufgrund von Überweisungen, die als nicht autorisiert gemäß den Protokollregeln eingestuft wurden, was das Kernversprechen von THORChain zur Sicherheit untermauert: Node-Operatoren setzen Kapital (gebundenes RUNE) aufs Spiel, wenn sie sich falsch verhalten. Die Slashing-Mechanismen von THORChain werden in seiner technischen Dokumentation zum Vault-Verhalten beschrieben (siehe Vault Behaviors).

Zum Zeitpunkt der Erstellung dieses Berichts (15. Mai 2026) laufen die Untersuchungen noch, und Details können sich weiterentwickeln. Wenn Sie THORChain für Swaps oder zur Bereitstellung von Liquidität nutzen, behandeln Sie dies als aktiven Vorfall und folgen Sie den offiziellen Statusaktualisierungen.

Warum ein Vorfall bei einem Asgard-Vault wichtig ist

THORChain versteht sich am besten als Cross-Chain-Vault- und Abwicklungsnetzwerk. Anstatt Assets zu wrappen oder sich auf einen einzigen Verwahrerschlüssel zu verlassen, nutzt THORChain Threshold Signature Scheme (TSS)-Vaults, die von einer rotierenden Gruppe von Validatoren betrieben werden. Dieses Design ist in den Architektur-Erklärungen von THORChain dokumentiert, einschließlich Bifrost, TSS und Vaults und Details darüber, wie Vaults im Laufe der Zeit geshardet und verwaltet werden, in Vault Behaviors.

Asgard-Vaults sind zentral, da sie die Liquidität halten, die zur Ausführung von Cross-Chain-Swaps verwendet wird. Wenn auf der Vault-Ebene etwas schief geht, kann der Schaden mehrere Ketten umfassen – genau die Art von „Multi-Chain-Angriffsfläche“, die Angreifer bevorzugen.

Die integrierten Schutzschalter, die zur Eindämmung des Schadens beitrugen

Einer der wichtigsten Erkenntnisse ist nicht nur, dass ein Exploit stattgefunden hat, sondern dass das Netzwerk durch das Stoppen ausgehender Aktivitäten reagiert hat.

THORChain unterstützt ausdrücklich Mechanismen zum Anhalten von Signierungen und ausgehenden Überweisungen unter bestimmten Bedingungen, einschließlich der Überschreitung von Slashing-Ereignissen über konfigurierte Schwellenwerte hinaus. Die Absicht ist klar: Wenn das Netzwerk ein Verhalten erkennt, das wie eine fehlerhafte Geldverschiebung aussieht, sollte es sicher abschalten und nicht offen bleiben. THORChain beschreibt diese Kontrollen in seiner Entwicklerdokumentation zu Network Halts und sein allgemeines Sicherheitsmodell in Network Security and Governance.

Aus Sicht der DeFi-Sicherheit sind diese Schutzschalter wichtig, da Cross-Chain-Systeme nicht den Luxus haben, eine Kette „zurückzudrehen“. Ihre besten Abwehrmaßnahmen sind oft:

  • schnelle Anomalieerkennung,
  • die Fähigkeit, riskantere Pfade (ausgehende Abwicklung) zu pausieren,
  • und klare, vorab vereinbarte Anreize, die böswillige oder fahrlässige Betreiber bestrafen.

Nutzerguthaben vs. Protokoll-eigene Guthaben: Wie diese Unterscheidung zu interpretieren ist

Die ersten Aussagen von THORChain und die frühe Berichterstattung deuten darauf hin, dass der betroffene Wert Protokoll-eigen war, während typische Nutzer-Swap-Flüsse nicht umfassend beeinträchtigt wurden. Dies ist eine bedeutende Unterscheidung, aber Nutzer sollten sie sorgfältig interpretieren:

  • In Cross-Chain-Protokollen bedeutet „Nutzerguthaben sind sicher“ oft, dass Nutzerguthaben nicht direkt aus persönlichen Wallets abgezogen wurden und das System glaubt, dass die betroffene Vault-Allokation nicht hauptsächlich aus nutzerinitiierten Überweisungen stammte.
  • Selbst wenn der Verlust als Protokoll-eigen eingestuft wird, kann ein Vorfall dennoch sekundäre Risiken für Nutzer durch Ausfallzeiten, verzögerte Abwicklungen, Routing-Störungen oder größere Markteffekte schaffen.

Wenn Sie kurz vor dem Stoppfenster einen Swap initiiert haben, sollte Ihre Priorität die Überprüfung der Finalität auf der Ursprungskette und die Bestätigung sein, ob der ausgehende Teil abgeschlossen wurde – insbesondere bei Multi-Chain-Routing-Szenarien.

Warum Churn pausiert wurde und was das operativ bedeutet

THORChain verwendet einen Prozess namens Churn, um Validator-Sets und Vault-Mitgliedschaften zu rotieren. Unter normalen Bedingungen verbessert Churn die Sicherheit im Laufe der Zeit, indem er begrenzt, wie lange eine feste Gruppe die Signierkraft kontrolliert. Die Dokumentation für THORChain-Nodes beschreibt die typische Churn-Kadenz und Konzepte des Validator-Lebenszyklus (siehe Node Operations).

Während eines Vorfalls ist das Pausieren von Churn eine vernünftige Entscheidung, weil:

  • Churn die Vault-Mitgliedschaft und die Signierdynamik verändert,
  • es die forensische Untersuchung erschweren kann,
  • und es die operative Belastung im schlimmsten Moment erhöht.

Kurz gesagt: Stabilität zuerst, dann Wiederherstellung.

Die Angleichung der Validator-Rechenschaftspflicht: Bonding und Slashing sind immer noch wichtig

Die Sicherheit von Cross-Chains hängt letztendlich von den Kosten für einen Angriff auf das System ab. THORChains Modell beruht darauf, dass Nodes RUNE binden und dann Strafen erhalten, wenn sie ungültige Überweisungen signieren oder ermöglichen.

Wenn Slashing korrekt angewendet wird, erfüllt es zwei Zwecke:

  1. Es hilft, böswilliges Verhalten abzuschrecken, indem Angriffe teuer gemacht werden.
  2. Es reduziert moralisches Risiko, indem mangelnde operative Sicherheit bestraft wird (z. B. kompromittierte Infrastruktur oder unsichere Schlüsselverwaltungspraktiken).

THORChain dokumentiert die Beziehung zwischen Vault-Verhalten und Slashing in Vault Behaviors und beschreibt die Sicherheitsannahmen und Anreize des Netzwerks in Network Security and Governance.

Warum dies in den breiteren Trend von 2025–2026 passt: die „Sicherheitssteuer“ für Cross-Chain-Liquidität

Auch wenn sich die Cross-Chain-Benutzererfahrung verbessert, zahlt die Branche weiterhin eine steigende „Sicherheitssteuer“. Daten-Dashboards wie die DeFiLlama Hacks Datenbank machen das Muster schwer zu ignorieren: Angreifer konzentrieren sich auf Systeme, bei denen eine einzige Schwachstelle Werteketten-übergreifend freisetzen kann.

Dies ist auch der Grund, warum sich Post-Incident-Erzählungen tendenziell auf Folgendes konzentrieren:

  • Schlüsselverwaltung und operative Sicherheit,
  • Durchsetzung von Signierrichtlinien,
  • Abhängigkeitsrisiken in komplexen Cross-Chain-Stacks,
  • und ob Überwachungs- und Halteauslöser korrekt kalibriert wurden.

Für historische Kontexte zu Monaten mit großen Verlusten helfen Berichte wie die Branchen-Verlustzusammenfassungen von Immunefi dabei, zu rahmen, wie schnell Risiken eskalieren können (siehe Immunefi-Bericht: Crypto Losses February 2025).

Praktische Anleitung für Nutzer für den Moment

Während THORChain und die Node-Betreiber an Untersuchungen und Fehlerbehebungen arbeiten, beachten Sie Folgendes:

  1. Vermeiden Sie überstürzte Transaktionen während teilweiser Ausfälle Wenn der Handel oder die Signierung pausiert ist, können Frontends inkonsistente Zustände anzeigen. Warten Sie auf eine klare Bestätigung, dass ausgehende Aktivitäten wieder aufgenommen wurden.

  2. Überprüfen Sie Ergebnisse auf der Kette, nicht nur in der Benutzeroberfläche Bestätigen Sie für jeden Cross-Chain-Swap die Transaktion auf der Ursprungskette und den Empfang auf der Zielkette unabhängig voneinander.

  3. Behandeln Sie „Recovery Support“-Nachrichten standardmäßig als feindlich Nach Exploits nehmen Phishing-Angriffe zu. Verbinden Sie Ihre Wallets nicht mit unbekannten „Refund“-Websites und signieren Sie keine beliebigen Nachrichten.

  4. Überprüfen Sie erneut Genehmigungen und Berechtigungen (EVM-Nutzer) Wenn Sie kürzlich Router oder Smart Contracts verwendet haben, überprüfen Sie Token-Genehmigungen und widerrufen Sie alle unnötigen mit seriösen Tools.

Wo eine Hardware-Wallet wie OneKey in dieses Gespräch passt

Dieser Vorfall scheint im Vault-/Sicherheitsbetrieb auf Protokollseite verwurzelt zu sein und nicht in der Kompromittierung privater Schlüssel von Endnutzern. Dennoch bekräftigt er eine zeitlose Regel: Nutzer sollten ihre Schlüssel mit starker, offline-basierter Sicherheit kontrollieren – insbesondere bei der Interaktion mit DeFi und Cross-Chain-Apps, bei denen die Transaktionskomplexität hoch ist.

Eine Hardware-Wallet wie OneKey kann helfen, indem sie Ihre privaten Schlüssel von potenziell kompromittierten Geräten isoliert und Ihnen einen klareren, bewussteren Signierfluss für risikoreiche Aktionen (Genehmigungen, Vertragsinteraktionen und große Überweisungen) bietet. In volatilen Vorfallfenstern – wenn Betrüger aktiv sind und UI-Zustände verwirrend sein können – ist ein langsamerer, verifikationsorientierter Signierprozess eine Funktion, kein Fehler.

Da THORChain tiefere technische Erkenntnisse und Details zur Fehlerbehebung veröffentlicht, sind die wichtigsten Signale, auf die Sie achten sollten: die bestätigte Ursache, ob die Korrektur die systemische Angriffsfläche reduziert und wie effektiv Slashing und operative Anforderungen die Anreize für die zukünftige Node-Sicherheit aufeinander abstimmen.

Schützen Sie Ihre Kryptojourney mit OneKey

View details for OneKeyOneKey

OneKey

Die fortschrittlichste Hardware-Wallet der Welt.

View details for App herunterladenApp herunterladen

App herunterladen

Betrugsalarme. Alle Coins unterstützt.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Krypto-Klarheit – Eine Anruf entfernt.