Yield Yak folgt Gitcoin bei jüngstem Wallet-Drainer-Angriff

Das Blockchain-Sicherheitsunternehmen Blockaid entdeckte am 24. Juni 2026 einen Frontend-Hack auf der Website derDeFi-Plattform Yield Yak. Laut Blockaid wurde das Frontend der Yield-Yak-Website durch Schadsoftware kompromittiert, die Wallets leerte. Dies ist bereits der zweite Angriff dieser Art innerhalb weniger Tage auf eine große Kryptobörse und reiht sich in den aktuellen Trend von Frontend-Hacks gegen große Kryptoplattformen ein.

Laut Blockaids Erkennungsprozess wurde die Subdomain vote.yieldyak.com mit Code der Software „Eleven Drainer“ infiziert. Wallet Drainer sind Schadprogramme, die Nutzer dazu verleiten, ihre digitalen Vermögenswerte über von ihnen autorisierte Transaktionen an Angreifer zu senden. Der Schadcode erzwingt die Genehmigung von Aktionen oder sendet Vermögenswerte an einen Angreifer, sobald Nutzer ihre Wallets verbinden – oft bevor diese überhaupt merken, was passiert. Weder Blockaid noch Yield Yak haben zum Zeitpunkt der Veröffentlichung Angaben zur Höhe der durch den Hack entstandenen Verluste gemacht.

Der Angreifer verwendet eine classic Spielweise

Der Hack bei Yield Yak ähnelt der Sicherheitslücke, die erst vor wenigen Tagen bei Gitcoin, einer Open-Source-Finanzierungsplattform, entdeckt wurde. Laut Blockaid vom 21. Junienthielt die Gitcoin-Subdomain files.gitcoin.co denselben Eleven-Drainer-Code und warnte Nutzer davor, die Plattform zu nutzen, da sie überprüft wurde. Blockaid stellte einen direkten Zusammenhang zwischen den beiden Hacks her und merkte an, dass der Angriff auf Yield Yak „dem gestrigendent bei Gitcoin folgt, der auf ähnliche Weise funktionierte“.

🚨Das System von Blockaid hatdenteinen Frontend-Angriff auf yieldyak[.]com durch @yieldyak_ . Die Subdomain vote[.]yieldyak[.]com enthält nun Code des Eleven Drainer. Dies folgt auf einen ähnlichen Vorfall beident @gitcoin . pic.twitter.com/YFmWEYfa7D

— Blockaid (@blockaid_) 24. Juni 2026

In beiden Fällen wurden Subdomains anstelle der Schnittstellen der Kernanwendung kompromittiert. Das Kernprodukt von Yield Yak, einem Protokoll für automatisches Yield Farming auf Avalanche, läuft auf der Hauptdomain. Die kompromittierte Voting-Subdomain erscheint zwar wie ein sekundärer Zugangspunkt, doch jeder, der darauf zugriff, riskierte den Verlust seines gesamten Guthabens.

Das Fehlen defiSchadenszahlen bedeutet nicht zwangsläufig geringe Folgen. Sicherheitslücken im Frontend werden üblicherweise stunden- oder sogar tagelang untersucht, wobei Sicherheitsteamsdentund prüfen, ob Nutzer schädliche Transaktionen durchgeführt haben. In anderen Fällen von Kontodiebstählen in diesem Jahr reichten die Verluste von mehreren Tausend bis zu Millionen von Dollar, je nachdem, wie viele Nutzer Wallets miteinander verbanden, bis der Schadcode entfernt wurde. Beispielsweisedenterbeuteten Hacker 3,2 Millionen Dollar von 86 Safe-Wallets, indem sie eine Sicherheitslücke in einem Drittanbietermodul ausnutzten. Ein weiteres Beispiel ist die Ausnutzung der Sicherheitslücke des Liquiditätsanbieters TrustedVolumes, die zu Verlusten in Höhe von 5,9 Millionen Dollar führte.

Anstieg der Front-End-Angriffe

Die erwähnten Hacks von Yield Yak und Gitcoin sind Teil eines größeren Trends, der die Kryptowährungs-Community in diesem Jahr erschüttert hat. Frontend-Angriffe, bei denen Angreifer die Website eines Projekts ausnutzen, ohne Smarttraczu beeinträchtigen, haben auf den großen DeFi Plattformen deutlich zugenommen.

Anfang des Jahres wurden OpenEden, Curvance und Maple Finance innerhalb einer einzigen Februarwoche Opfer von Frontend-Angriffen. Diese Angriffe nutzten zwar ein anderes Drainer-Toolkit namens AngelFerno, folgten aber derselben Methode: Zugriff auf die Webinfrastruktur eines Projekts erlangen, Code einschleusen, der Wallet-Verbindungen abfängt, und auf Benutzerinteraktionen warten.

Blockaid dokumentierte im April 2026 ein noch aggressiveres Muster. Nach aufsehenerregenden Angriffen auf Drift Protocol, KelpDAOund andere Plattformen erstellten Betrüger innerhalb weniger Stunden gefälschte Domains, um verängstigte Nutzer abzufangen, die nach Möglichkeiten suchten, Token-Genehmigungen zu widerrufen. Das Unternehmen bezeichnete den April 2026 als „den schlimmsten Monat für Kryptodiebstähle seit Beginn der Aufzeichnungen“ und berichtete von über 629 Millionen US-Dollar, die bei mehr als 20 Vorfällen erbeutetdent.

Was Yield Yak-Nutzer wissen sollten

Yield Yak ist ein DeFi Protokoll auf Avalanche , das Yield-Farming-Belohnungen automatisch verzinst und einen dezentralen Börsenaggregator betreibt (laut Alchemy-Listing). Nutzer, die Vermögenswerte über die Smarttracder Hauptplattform eingezahlt haben, sind von einer Kompromittierung der Benutzeroberfläche nicht direkt betroffen, da die zugrunde liegendentracunverändert bleiben. Das Risiko besteht für alle, die die kompromittierte Subdomain besucht und eine Wallet verbunden oder eine Transaktion signiert haben.

Zum Zeitpunkt der Veröffentlichung hatten weder Yield Yak noch Gitcoin öffentliche Stellungnahmen zum Stand der Behebung der jeweiligendentabgegeben. Kein Sicherheitsunternehmen oder Blockchain-Ermittler hat bestätigte Verluste im Zusammenhang mit dem Yield-Yak-Vorfall öffentlich gemeldet, und es gibt derzeit keine On-Chain-Beweise, die das Ausmaß eines möglichen Diebstahls andeuten. Blockaid riet Nutzern, die betroffenen Websites nicht zu nutzen, solange das Problem untersucht und behoben wird.

Nutzer, die vermuten, mit vote.yieldyak.com interagiert zu haben, sollten alle während der Sitzung erteilten Token-Genehmigungen mit einem vertrauenswürdigen Tool widerrufen und ihre Wallets auf unautorisierte Überweisungen überwachen.