Analysten von SlowMist warnen vor Sicherheitslücken bei einer Börse mit einem täglichen Volumen von 3,7 Milliarden US-Dollar.

Das Blockchain-Sicherheitsunternehmen SlowMist hat zwei Kryptowährungsbörsen öffentlich angeprangert, bei denen es schwerwiegende Sicherheitslückendenthatte, die die Gelder auf ihren jeweiligen Plattformen beeinträchtigen. 

Der Gründer von SlowMist, der das Pseudonym Evilcos verwendet, äußerte seine Frustration über die mangelnde Reaktion. 

„Unbekannte Börsen sind wirklich unzuverlässig“, schrieb er auf X. „Unser Sicherheitsteam hat schwerwiegende Schwachstellen in zwei Börsen entdeckt (die sich direkt auf die Sicherheit der Gelder auswirken), aber wir konnten niemanden erreichen, und selbst öffentliche Hinweise blieben unbeantwortet.“

Die betreffenden Börsen verzeichnen ein signifikantes tägliches Handelsvolumen. Laut Evilcos.

Offenlegungsversuche zurückgewiesen

SlowMist verschickte am 16. bzw. 17. Dezember Sicherheitswarnungen an die auf den Seychellen registrierte Börse Azbit und die türkische Börse ICRYPEX Global . Das Unternehmen gab außerdem an, versucht zu haben, beide Plattformen gemäß den üblichen Richtlinien für verantwortungsvolle Offenlegung per Direktnachricht und öffentlichen Beiträgen zu kontaktieren, erhielt jedoch keine Antwort.

ICRYPEX, gegründet 2018 und Inhaber von Lizenzen als Anbieter von Dienstleistungen für virtuelle Vermögenswerte in zwei Ländern der Europäischen Union, berichtet, Millionen von Nutzern in mehr als 30 Ländern zu bedienen.

Azbit wurde Ende 2019 gegründet und ist auf den Seychellen tätig; allerdings erklärte die Regulierungsbehörde der Seychellen , dass „das Unternehmen weder über eine Genehmigung zum Betrieb gemäß dem Virtual Asset Service Providers Act, 2024 verfügt noch jemals verfügt hat und lediglich eine internationale Geschäftsgesellschaft („IBC“) ist, die gemäß dem IBC-Gesetz gegründet wurde.“

Da es nicht gelang, Kontakt herzustellen, sah sich SlowMist zu dem ungewöhnlichen Schritt veranlasst, die entdeckten Sicherheitslücken vor deren Behebung öffentlich bekannt zu geben, was etwas besorgniserregend ist, obwohl man davon ausgehen kann, dass die jeweiligen Börsen bereits an einer Lösung arbeiten. 

Eine öffentliche Stellungnahme oder eine Bestätigung der Ergebnisse von SlowMist würde jedoch wesentlich dazu beitragen, die Kunden zu beruhigen.

Branchenweite Sicherheitsbedenken

Derdent ereignete sich vor dem Hintergrund anhaltender Sicherheitsherausforderungen im gesamten Kryptowährungssektor. Der Jahresbericht 2024 von SlowMist dokumentierte 410dentmit Verlusten von über 2,013 Milliarden US-Dollar.

Das Cybersicherheitsunternehmen CertiK teilte mit, dass Kryptobörsen im November 2025 Verluste von über 29 Millionen US-Dollar erlitten haben und damit nach dem dezentralen Finanzsektor (DeFi) an zweiter Stelle in der Liste der Verluste nach Art stehen.

Bewährte Verfahren empfehlen, dass Kryptowährungsentwickler Kontaktstellen für die Meldung von Sicherheitsproblemen einrichten, einschließlich langfristiger öffentlicher Schlüssel für eine sichere Kommunikation.

Werden die Börsen Kontakt aufnehmen?

Die Erfahrung von SlowMist, keine Antwort erhalten zu haben, ist zwar kein Einzelfall, zeigt aber, dass selbst etablierte Plattformen mit einer beträchtlichen Nutzerbasis möglicherweise nicht über die nötigen Kanäle verfügen, um wichtige Sicherheitsinformationen zu erhalten.

Dies wirft auch Fragen hinsichtlich der Bereitschaft von Kryptobörsen auf, auf Schwachstellenmeldungen schnell zu reagieren.

SlowMist hat bereits mit großen Kryptobörsen wie Binance, OKX, HTX und Crypto.com zusammengearbeitet, was den Sicherheitsbewertungen Glaubwürdigkeit verleiht und dazu beiträgt, die von ihnen festgestellten Sicherheitslücken zu schließen.

Im vergangenen Monat Cryptopolitan berichtete , dass die Firma SlowMist eine Untersuchung durchgeführt habe, die Schwachstellen in NOFX AI aufdeckte, einem Open-Source-System für den Handel mit Kryptowährungs-Futures, das auf der Architektur von DeepSeek und Qwen mit großen Sprachmodellen basiert. Außerdem wurden Empfehlungen zur Behebung des Problems veröffentlicht. 

Branchenrichtlinien für verantwortungsvolle Offenlegung empfehlen in der Regel, dass Betroffene innerhalb von zwei Werktagen nach der ersten Kontaktaufnahme antworten. Erfolgt nach mehreren Versuchen keine Antwort, veröffentlichen Sicherheitsforscher den Vorfall häufig, um Transparenz zu gewährleisten, insbesondere wenn es um Gelder geht.

Weder ICRYPEX noch Azbit hatten bis zum Zeitpunkt dieser Veröffentlichung auf die Sicherheitswarnungen reagiert oder öffentliche Stellungnahmen zu den Schwachstellen abgegeben.