Goldfinch Finance-Nutzer deltatiger.eth gehackt, bisher 330.000 US-Dollar gestohlen

EindentNutzer der Ethereum-basierten DeFi Plattform Goldfinch Finance wurde Opfer eines Sicherheitsvorfalls, der zu Verlusten in Höhe von etwa 330.000 US-Dollar führte, wie die Blockchain-Sicherheitsplattform PeckShield mitteilte.

PeckShieldAlert berichtete am Dienstag auf X, dass der Angreifer des Goldfinch-Nutzers deltatiger.eth etwa 118 ETH an Tornado Cash gesendet hatte, nachdem er einen älteren Smarttracauf Ethereumgehackt hatte.

Der kompromittiertetrac,dentals 0x0689aa2234d06Ac0d04cdac874331d287aFA4B43, ermöglichte es dem Täter, die Kontrolle über die Wallet von deltatiger zu erlangen und Gelder abzuheben.

#PeckShieldAlert @goldfinch_fivon @deltatigernz wurde angegriffen, was zu einem Verlust von ca. 330.000 US-Dollar führte.

eingezahlt $ETH der gestohlenen Gelder auf #TornadoCash.

🚨Bitte *widerrufen* Sietracumgehend die Genehmigungen für diesen Vertrag: pic.twitter.com/OOuv39YVU9

— PeckShieldAlert (@PeckShieldAlert) 2. Dezember 2025

Die Schwachstelle lag in der Funktion `collectInterestRepayment()` destrac, die USDC von jeder beliebigen Adresse überweisen konnte, die die Transaktion genehmigte. Der Angreifer zahlte Berichten zufolge 1.000 USDC ein und hob die Gelder wiederholt ab, nachdem er den Aktienkurs künstlich in die Höhe getrieben hatte.

zu widerrufentrac“, um zu verhindern, dass der Hacker weitere Token stiehlt, während er weiterhin den Krypto-Mixer Tornado Cash zur Geldwäsche der gestohlenen Token nutzte. 

Bisher gab es weder von deltatiger noch von Goldfinch Neuigkeiten, und keine der beiden Organisationen hat offengelegt, ob der Angreifer nach dem Exploit gegen 9:30 Uhr UTC heute mit ihnen Kontakt aufgenommen hat.

Die dezentrale Kreditvergabemethode von Goldfinch Finance wurde kritisiert

Goldfinch Finance ist ein dezentrales Finanzprotokoll (DeFi), das von wichtigen Akteuren der Kryptoindustrie unterstützt wird, darunter a16z Crypto und Coinbase Ventures. 

Anders als die meisten Krypto-Kreditplattformen verlangt Goldfinch keine Sicherheiten von Kreditnehmern. Stattdessen können diese Kreditanträge zur Prüfung durch Geldgeber und Wirtschaftsprüfer einreichen. Bei ausreichender Zustimmung wird der Kredit bewilligt . Liquiditätsanbieter, Geldgeber und Wirtschaftsprüfer erhalten dafür Zinsen, während Kreditnehmer ohne Sicherheiten Zugang zu Kapital erhalten. 

Das Protokoll ging im Februar 2021 auf Ethereum live und vergab zunächst Kredite im Wert von 1 Million US-Dollar. Version 1.1 wurde einen Monat später, im März 2021, veröffentlicht, und Goldfinch erhielt einige Monate später eine Finanzierung in Höhe von 11 Millionen US-Dollar von Andreessen Horowitz. Im Oktober 2021 ging die Plattform eine Partnerschaft mit Nexus Mutual ein, wodurch Liquiditätsanbieter und Unterstützer SmarttracVersicherungen erwerben konnten. 

Laut dem Token-Terminal von Coingecko beträgt die vollständig verwässerte Marktkapitalisierung des Goldfinch-Protokolls 30,5 Millionen US-Dollar, das Token-Handelsvolumen in den letzten 30 Tagen 12,4 Millionen US-Dollar und die aktiven Kredite insgesamt 91,3 Millionen US-Dollar.

Im Jahr 2023 geriet ein ostafrikanisches Motorradfinanzierungsunternehmen namens Tugende Kenya mit einem Krypto-Kredit in Höhe von 5 Millionen US-Dollar in Zahlungsverzug, nachdem es angeblich seiner in Uganda ansässigen Muttergesellschaft einen nicht genehmigten Kredit gewährt und damit gegen die Kreditbedingungen verstoßen hatte.

Warbler Labs, die Muttergesellschaft von Goldfinch, entdeckte, dass Tugende Kenya fast 2 Millionen US-Dollar an die Muttergesellschaft umgeleitet hatte. Der Verstoß wurde im Dezember desselben Jahres aufgedeckt, doch laut Unternehmensunterlagen wurde er erst im Februar 2024 im Governance-Forum von Goldfinch gemeldet.

Ein weiterer Zahlungsausfall ereignete sich 2024 bei dem in Singapur ansässigen privaten Kreditinstitut Lend East. Dieses gab an, von einem Darlehen in Höhe von 10,15 Millionen US-Dollar aus dem Goldfinch-Kreditpool lediglich rund 4,25 Millionen US-Dollar zurückzahlen zu können. Dieser Betrag lag 58 % unter dem Rückzahlungswert und entsprach 7,7 % des gesamten aktiven Kreditvolumens von Goldfinch. 

Der Lend East-Fonds hatte eine Laufzeit von 25 Monaten bis zum 3. April 2024 und bot einen jährlichen Zinssatz von 17 % in USDC oder 28 % in variablem GFI. Mitglieder der Discord-Community behaupteten, dass 750.000 US-Dollar, die von Goldfinch geliehen wurden, zur Rückzahlung anderer Kredite verwendet wurden, was gegen den ursprünglichen Kreditvertrag verstieß.

Im Dezember erleiden DeFi Protokolle Verluste durch Hackerangriffe.

Der Hack von Goldfinch erfolgte nur knapp 24 Stunden, nachdem Yearn Finance Opfer eines Angriffs auf seinen yETH-Pool geworden war, bei dem unbegrenzt Token generiert und der gesamte Pool in einer einzigen Transaktion leergeräumt wurde. Laut einem Cryptopolitanvon Berichterzeugten die Angreifer nahezu unendlich viele yETH-Token undtracCashCash CashCashCashCash CashCash.

yETH ist ein Index-Token, der auf verschiedenen liquiden Staking-Varianten von ETH basiert, den sogenannten Ethereum Liquid Staking Derivatives (LSTs). Der Exploit wurde vom X-Nutzer Togbe entdeckt, der „umfangreiche Transaktionen“ bei LSTs wie Yearn, Rocket Pool, Origin und Dinero feststellte.

Yearn Finance bestätigte dendent über seinen offiziellen X-Account, versicherte den Nutzern jedoch, dass die V2- und V3-Vaults sicher seien. Dies ist der zweite Angriff seit 2021, als ein Datenleck im yDAI-Vault von Yearn zu einem Verlust von 2,8 Millionen US-Dollar führte, und ein fehlerhaftes Skript im Dezember 2023, das 63 % der Treasury-Position vernichtete.

Das Blockchain-Sicherheitsunternehmen CertiK berichtete am Sonntag, dass die Kryptoindustrie im November durch Hackerangriffe und Sicherheitslücken . Laut dem monatlichen Bedrohungsbericht des Unternehmens beliefen sich die tatsächlich betroffenen Gelder auf über 172 Millionen US-Dollar, wobei etwa 45 Millionen US-Dollar später wiedererlangt werden konnten.