Ein Hacker, der mit dem Sicherheitsvorfall bei Voltage Finance im Jahr 2022 in Verbindung steht – einem dezentralen Kreditprotokoll auf Basis des Fuse-Netzwerks –, hat nach monatelanger Inaktivität einen erheblichen Teil der gestohlenen Gelder transferiert. Das Blockchain-Sicherheitsunternehmen CertiK gab am 6. Mai bekannt, dass der Hacker 100 Ether im Wert von etwa 182.783 US-Dollar über den Krypto-Mixing-Dienst Tornado Cashtransferiert hat.
Laut der Untersuchung von CertiK war die für die Transaktion verwendete Wallet-Adresse 166 Tage lang inaktiv und wies seit November keine Bewegungen auf. Die Adresse steht in Verbindung mit dem ursprünglichen Exploit und lässt sich auf frühere Aktivitäten des Hackers trac.
Unser Alarmsystem hat @Tornado Cash
Einzahlungen von 100 ETH von 0xCF4823dA7271fdedBe103500d8E197Bdca224B6d festgestellt.Die Gelder lassen sich auf einen Exploit von Voltage Finance
auf Fuse im Wert von ca. 4 Millionen US-Dollar im März 2022 tracBleibt wachsam! pic.twitter.com/eyqH1HbN3F
— CertiK Alert (@CertiKAlert) 6. Mai 2025
Das Blockchain-Sicherheitsunternehmen erklärte außerdem, dass der Hacker Tornado Cashbenutzt habe, das 2022 vom US-Finanzministerium wegen der Erleichterung von Geldwäsche sanktioniert wurde, um Blockchain-Transaktionen zu verschleiern und die Ermittler daran zu hindern, die Geldflüsse trac.
Voltage Finance Originalausbeutung 2022
Voltage wurde am 31. März 2022 gehackt, wobei die Hacker schätzungsweise 4,67 Millionen US-Dollar in digitalen Token erbeuteten. Berichten zufolge nutzten sie eine Schwachstelle im Token-Standard ERC677 über eine integrierte Callback-Funktion aus. Diese Funktion ermöglichte es ihnen, einen Reentrancy-Angriff durchzuführen und so erfolgreich Gelder aus dem Kreditpool der Plattform abzuziehen.
In der ersten Phase des Angriffs nutzte der Täter einen Flash-Kredit in Höhe von 515 Wrapped Ether (WETH) aus dem WETH-WBTC-Paar bei Voltage Finance, um den Exploit auszulösen.
Voltage Finance fungiert als dezentrales Protokoll, das den automatisierten Token-Handel im Fuse-Netzwerk ermöglicht. Der Angreifer nutzte diese Infrastruktur aus, indem er die Smarttracder Plattform mithilfe von Wrapped Tokens und Flash Loans manipulierte.
Ola Finance, das Multi-Protokoll-Netzwerk hinter Voltage, veröffentlichte zwei Tage nach dem Vorfall dent , die zeigte, dass die Sicherheitslücke spezifisch für die Fuse-Implementierung war. Die Entwickler erklärten, dass ähnliche Angriffe andere Kreditnetzwerke im Ola-Ökosystem nicht beeinträchtigen würden.
Insgesamt entwendete der Angreifer 216.964,18 USDC, 507.216,68 BUSD, 200.000 fUSD, 550,45 Wrapped Ether (wETH), 26,25 Wrapped Bitcoin (wBTC) und 1.240.000 FUSE-Token.
„ Bei späteren Transaktionen vermied der Angreifer einen Schnellkredit, indem er die bereits gestohlenen Gelder nutzte “, erklärte Ola in seinem Bericht.
Ein weiterer Exploit wird im März 2025 auftreten
Voltage Finance wurde am 18. März dieses Jahres erneut Opfer eines Hackerangriffs, der die Simple Staking-Pools betraf. Diesmal führte die unautorisierte Abhebung zum Diebstahl von 171.027,20 USDCE und 151.085,87 wETH. Die Plattform setzte die Aktivitäten im Pool vorübergehend aus, um den Abfluss der Gelder zu stoppen, und erklärte, sie arbeite „mit Hochdruck daran, den Hacker zudent“
Laut einem Medium- Bericht von Voltage Finance vom 20. März begann der Angriff, als eine zweite unbekannte Partei, im Folgenden Angreifer 2 genannt, ETH von der Kryptobörse HTX abhob. Angreifer 2 übertrug die gestohlenen Vermögenswerte an Angreifer 1, der das Geld nutzte, um über ChangeNow, das über LayerZero mit dem Netzwerk verbunden war, FUSE-Token zu kaufen.
Von dort wurden die gestohlenen Vermögenswerte zurück zu Ethereum transferiert und über mehrere Wallets und Transaktionen bewegt. Die Gelder wurden dann von Angreifer 1 an Angreifer 3 weitergeleitet, der über SimpleSwap zusätzliche Gelder erhielt.
Angreifer 3 zahlte einen Teil der Token auf der KuCoin-Börse ein, tauschte aber andere um und hob sie beim ersten Hacker wieder ab, um den Geldwäschekreislauf zu schließen.
„ Da Ihre Transaktionen über KuCoin abgewickelt wurden, haben wir Maßnahmen zur Identifizierung dent Person eingeleitet. Wir bevorzugen eine friedliche Lösung. Wir bieten eine Belohnung von 50.000 US-Dollar für die vollständige Rückgabe aller Gelder “, teilte Voltage Finance dem Hacker in einem Beitrag mit.
Laut einem aktuellen Bericht des Blockchain-Sicherheitsunternehmens Immunefi haben die Verluste durch Krypto-bezogene Hacks und Exploits in diesem Jahr bisher 1,74 Milliarden US-Dollar erreicht und damit bereits die im gesamten Jahr 2024 verzeichneten 1,49 Milliarden US-Dollar übertroffen. Die Gesamtsumme für das Jahr 2025 bis dato ist fast viermal so hoch wie die im gleichen Zeitraum des Vorjahres gemeldeten
