Am 13. April nutzte ein unbekannter Angreifer eine Schwachstelle im Hyperbridge-Cross-Chain-Smart-Contract aus, erlangte Administratorrechte und gab 1 Milliarde DOT aus, wie Experten von CertiK berichteten.
#CertiKInsight 🚨
Wir haben eine Sicherheitslücke im Gateway-Vertrag von @hyperbridge entdeckt. https://t.co/h27iDm1JGd
Der Angreifer nutzte eine gefälschte Nachricht, um den Administrator des Polkadot-Token-Vertrags auf Ethereum zu ändern und erzielte einen Gewinn von rund 237.000 US-Dollar durch das Prägen und Verkaufen von 1 Milliarde Token.
Bleibt dran… pic.twitter.com/3t2n4uq5hy
— CertiK Alert (@CertiKAlert) 13. April 2026
Nach der Generierung der Coins verkaufte der Hacker das gesamte Volumen in einer einzigen Transaktion für 108,2 ETH (etwa 237.000 US-Dollar).
Der Angriff betraf nicht das Hauptnetzwerk von Polkadot, sondern nur die ERC-20-Version der zugehörigen Kryptowährung, die auf Ethereum läuft.
Zum Zeitpunkt der Veröffentlichung dieses Artikels hatte sich das Projektteam noch nicht zu dem Vorfall geäußert. Nach Bekanntwerden der Sicherheitslücke fiel der Kurs von DOT um 4 % auf 1,19 US-Dollar.
Stundenchart von Binance DOT/USDT. Quelle: TradingView.
Fake Ledger App
Garrett Dutton, Frontmann von G. Love, verlor 5,9 BTC (etwa 420.000 US-Dollar) aufgrund einer gefälschten Ledger-App im App Store.
Ich hatte heute einen echt beschissenen Tag. Ich habe meine Altersvorsorge durch einen Hackerangriff/Betrug verloren, als ich mein @Ledger auf meinen neuen Computer übertragen und versehentlich eine schädliche Ledger-App aus dem @Apple Store heruntergeladen habe. Meine gesamten Bitcoins waren im Nu weg.
— G. Love (@glove) 11. April 2026
„Ich hatte einen wirklich harten Tag. Ich habe bei einem Einbruch meine gesamten Altersvorsorgeersparnisse verloren“, schrieb er.
Der Musiker erklärte, er habe die Wallet auf einem neuen Computer installiert und die Seed-Phrase eingegeben. Die Software erwies sich jedoch als gefälscht und nicht offiziell.
Der On-Chain-Detektiv ZachXBT spürte die gestohlenen Vermögenswerte auf. Der Angreifer hat bereits Gelder auf Einzahlungsadressen der KuCoin-Börse abgehoben und dabei neun Transaktionen durchgeführt.
Hallo, ich habe Ihre gestohlenen 5,92 BTC zurückverfolgt. Sie wurden vollständig über @kucoincom-Einzahlungsadressen in den folgenden Transaktionen gewaschen:
6f5c8eb6b01774626f33527e0cb03c0d1860447acacd6079e69bf41b459bcf1f
9ee1288f941b2c3775ebd125eefeebdc713aa160bf2cf9d18661fd07f84ce891…— ZachXBT (@zachxbt) 12. April 2026
Die Teams von Ledger und Apple haben zu dem Vorfall nicht reagiert.
Erinnern Sie sich daran, dass im April letzten Jahres Betrüger Benutzer von Hardware-Krypto-Wallets mit Hilfe von Papierbriefen angegriffen haben?