OpenEden-Nutzer sind durch DNS-Angriffe, die Portale kapern, von Vermögensverlust bedroht

OpenEden sorgte heute, am 16. Februar, für Schlagzeilen, als die etablierte Plattform für die Verwaltung tokenisierter Vermögenswerte bekannt gab, dass Angreifer das Domain Name System (DNS) sowohl für ihre Hauptwebsite als auch für ihr Benutzerportal kompromittiert hatten, wodurch eine unmittelbare Bedrohung für die Wallet-Sicherheit aller entstand, die versuchten, über reguläre Webbrowser auf die Plattform zuzugreifen.

„Es scheint, dass die DNS-Server von openeden.com und portal.openeden.com kompromittiert sind. Interagieren Sie NICHT mit diesen Servern“, postete das Unternehmen auf seinem X-Account. 

In der Warnung wurde betont, dass zwar „alle Reservebestände sicher bleiben und über von OpenEden Chainlink Proof-of-Reserve-Feed“, Benutzer, die die gehackten Domains besuchen, jedoch die Vermögenswerte ihrer Wallet verlieren können. 

Das OpenEden-Team teilte mit, dass es den Vorfall derzeit untersuche und versprach, über die weitere Entwicklung auf dem Laufenden zu bleiben.

Ein schwerer Schlag für einen wichtigen Akteur der Kryptoindustrie

Der DNS-Sicherheitsvorfall löste große Besorgnis aus, insbesondere angesichts der Rolle von OpenEden als bedeutender institutioneller Verwahrer tokenisierter realer Vermögenswerte. Das Unternehmen wurde 2022 gegründet und emittiert tokenisierte US-Schatzanweisungen über seinen Flaggschiff-Token TBILL. Dieser ermöglicht Anlegern den direkten Zugang zu tokenisierten Schatzanweisungen, die durch entsprechende Wertpapiere auf separaten Konten besichert sind.

Die Plattform entwickelte sich zu einem wichtigen Akteur im Kryptobereich und wurde der erste tokenisierte RWA-Emittent, der von Investmentanalysten ein A-Rating (A von Moody's und AA+ von S&P Global Ratings) für seinen Treasury-Fonds erhielt. 

Bei einer so großen industriellen Präsenz (die professionelle Investoren, DAO-Treasuries und andere Firmen bedient) birgt die DNS-Kompromittierung ein Risiko für DeFi Nutzer, insbesondere aber für größere Marktteilnehmer, die davon ausgehen, dass institutionelle Plattformen über Sicherheitsvorkehrungen auf Unternehmensebene verfügen, die ihre Web-Zugangspunkte schützen.

Wie kam es zu dem DNS-Angriff?

DNS-Hijacking-Angriffe funktionieren, indem sie das Adressierungssystem des Internets kompromittieren. Das Domain Name System (DNS) funktioniert ähnlich wie das Telefonbuch des Internets und übersetzt für Menschen lesbare Domainnamen wie „openeden.com“ in zahlenbasierte IP-Adressen, die Computer zur Weiterleitung des Datenverkehrs verwenden. 

Wenn Angreifer die Datensätze einer Domain kapern, können sie Besucher auf schädliche Websites umleiten, ohne die Infrastruktur der ursprünglichen Plattform zu beeinträchtigen.

Im Fall von OpenEden würden Benutzer, die „openeden.com“ oder „portal.openeden.com“ in ihren Browser eingeben, auf Server umgeleitet, die Angreifern gehören und gefälschte Versionen der ursprünglichen Plattform hosten. 

Diese gefälschten Websites ahmen die Benutzeroberfläche des Originals pixelgenau nach und fordern die Nutzer anschließend auf, ihre Wallets zu verbinden. Nach der Verbindung kann die schädliche Website Transaktionssignaturen anfordern, die auf der Website wie normale Interaktionen erscheinen, tatsächlich aber die Übertragung von Token an die Wallets der Angreifer autorisieren.

Glücklicherweise agiert dieser Angreiferdentvon den Smarttracund den Reserveverwahrungssystemen von OpenEden. Die TBILL- und USDO-Token der Plattform bleiben sicher in ihren jeweiligen Tresoren, und alle Reservevermögenswerte, die diese Token decken, sind weiterhin über die Proof-of-Reserve-Orakel von Chainlinkverifizierbar. 

Dies bedeutet, dass der DNS-Angriff nur für Benutzer ein Risiko darstellt, die die gekaperten Domains besuchen und mit der Phishing-Oberfläche interagieren. Daher sieht sich OpenEden gezwungen, alle Benutzer zu warnen, die Interaktion mit der Website einzustellen.

Der jüngste Fall einer Welle von DNS-Angriffen auf Kryptoplattformen

Der OpenEden-dent reiht sich in ein besorgniserregendes Muster von DNS-Hijacking-Angriffen auf Krypto-Plattformen ein. Im November 2025 wurde Aerodrome Finance (die größte dezentrale Börse auf Coinbase) von Angreifern gehackt, die die Kontrolle über die Domainregistrierung der Plattform erlangten, um den Datenverkehr auf eine gefälschte Website umzuleiten. 

Die Smarttracvon Aerodrome blieben unversehrt, aber die Phishing-Website konnte ahnungslose Benutzer dazu verleiten, Transaktionsgenehmigungen zu unterzeichnen, die Wallets mit ETH, USDC und verschiedenen anderen Token leerten.

In ähnlicher Weise wurde Curve Finance im Mai 2025 Opfer eines DNS-Hijackings, als Angreifer in den Domain-Registrar „iwantmyname“ eindrangen und die DNS-Delegierung für die Domain „curve.fi“ veränderten. 

Natürlich wurden die Nutzer auf andere Seiten umgeleitet, aber das Team von Curve reagierte darauf, indem es auf eine sichere alternative Domain migrierte und die Nutzer dazu aufforderte, über Ethereum Name Service (ENS)-Mirrors anstatt über das herkömmliche DNS auf die Plattform zuzugreifen.

DNS-Angriffe eignen sich besonders gut für Krypto-Plattformen, da Benutzer häufig Wallets verbinden und Transaktionen signieren müssen, was Phishing-Websites vielfältige Angriffsmöglichkeiten bietet. 

OpenEden hat nicht offengelegt, wie die Angreifer die Kontrolle über die DNS-Einträge erlangt haben oder welcher Registrar die Domains verwaltet, da die Ermittlungen noch andauern. 

Die Plattform hat jedoch noch keinen Zeitplan für die Wiederherstellung des sicheren Zugriffs auf ihre Domains veröffentlicht. In der Zwischenzeit können Nutzer, die ihre Reservebestände überprüfen möchten, direkt auf den Chainlink -Reservenachweis zugreifen, um Echtzeitinformationen zu den mit OpenEden verbundenen Vermögenswerten zu erhalten.