Aerodrome und Velodrome: DNS-Attacke kostet Nutzer Millionen

Kriminelle haben am Wochenende zwei führende dezentrale Börsen über ihre Web-Adressen gekapert. Nutzer verloren über eine Million Dollar – obwohl die Blockchain selbst sicher blieb. Ein alter Schwachpunkt wird zum wiederkehrenden Albtraum.

Bereits am frühen Samstagmorgen begann der koordinierte Angriff auf Aerodrome Finance und Velodrome Finance. Wer die Plattformen besuchen wollte, landete stattdessen auf täuschend echten Phishing-Seiten. Die Masche: Gefälschte Wallet-Verbindungen, die unbegrenzte Zugriffe auf Kryptowährungen und NFTs genehmigen sollten.

Die Angreifer nutzten eine Schwachstelle im Domain Name System (DNS) – jener zentralen Internet-Infrastruktur, die Web-Adressen in IP-Adressen übersetzt. Beide Plattformen werden vom selben Entwicklerteam betrieben und teilten sich offenbar denselben Angriffspunkt.

Passend zum Thema Phishing- und DNS-Angriffe: Solche Manipulationen an Domains führen schnell zu hohen Verlusten, weil Nutzer gefälschte Wallet-Verbindungen autorisieren. Ein kostenloses Anti-Phishing-Paket erklärt in vier klaren Schritten, wie Sie Phishing erkennen, Berechtigungen zurückziehen und organisatorische Maßnahmen (inkl. CEO-Fraud-Prävention) umsetzen. Mit praktischen Checklisten und konkreten Vorlagen für Sofortmaßnahmen. In 4 Schritten zur erfolgreichen Hacker-Abwehr: Anti-Phishing-Paket herunterladen

Innerhalb einer Stunde flossen über eine Million Dollar in Angreifer-Wallets ab. Betroffen waren vor allem Stablecoins wie USDC sowie Ethereum. Blockchain-Analysten verfolgten die Transaktionen in Echtzeit – Gelder wurden umgehend auf verschiedene Adressen verteilt, um Rückverfolgung zu erschweren.

Das Aerodrome-Team warnte auf X (ehemals Twitter) eindringlich vor allen .finance– und .box-Domains. Stattdessen sollten Nutzer auf dezentrale ENS-Adressen wie aero-drome.eth.limo ausweichen – diese laufen außerhalb des anfälligen DNS-Systems.

Bis Sonntagnachmittag waren die gefälschten Seiten größtenteils offline. Die vollständige Kontrolle über die originalen Domains dauerte jedoch an. Velodrome bat kurzzeitig öffentlich den Domain-Anbieter My.box um Hilfe, löschte den Post jedoch schnell wieder. Ein Hinweis darauf, dass die Schwachstelle beim Registrar selbst lag?

Kerngeschäft bleibt unangetastet

Die gute Nachricht: Die Smart Contracts beider Plattformen blieben sicher. Das gebundene Kapital – rund 340 Millionen Euro bei Aerodrome und 109 Millionen Euro bei Velodrome – war zu keinem Zeitpunkt gefährdet.

Auch die Märkte reagierten erstaunlich gelassen. Der AERO-Token fiel nur leicht auf 0,67 Dollar. Das deutet darauf hin, dass Investoren zwischen technischer Infrastruktur und Blockchain-Protokoll unterscheiden können. Dennoch: Für betroffene Einzelnutzer ist das ein schwacher Trost.

Déjà-vu mit bitterem Beigeschmack

Was die Sache besonders brisant macht: Fast genau dasselbe geschah bereits vor zwei Jahren. Am 29. November 2023 trafen DNS-Angriffe beide Plattformen – damals über eine Sicherheitslücke beim Registrar Porkbun. Die Verluste lagen bei umgerechnet etwa 85.000 Euro.

Dass derselbe Angriffsvektor nach 24 Monaten erneut funktioniert, wirft unangenehme Fragen auf. Hat die Branche nichts gelernt? Alexander Cutler, Mitgründer von Aerodrome, verteidigte sein Team: Die dezentralen Systeme (ENS, IPFS) hätten einwandfrei funktioniert. Das Problem liege bei der “fragilen Legacy-Internet-Infrastruktur”.

Denkbar schlechtes Timing

Die Attacke trifft Dromos Labs, das Entwicklerstudio hinter beiden Plattformen, in einer heiklen Phase. Erst vor zehn Tagen, am 13. November, kündigte das Team eine Fusion an: Aerodrome und Velodrome sollen im zweiten Quartal 2026 zur einheitlichen Plattform “Aero” verschmelzen.

Das Ziel: Liquidität über die Blockchain-Netzwerke Base und Optimism hinweg bündeln – ein ambitioniertes “Superchain”-Projekt. Doch wie glaubwürdig ist diese Vision, wenn bereits die Haustür nicht richtig abgeschlossen werden kann?

Das Web2.5-Dilemma

Die DeFi-Szene nennt es das “Web2.5-Problem”: Blockchain-Protokolle sind hochsicher und unveränderlich. Doch Nutzer greifen über herkömmliche Browser und Domain-Namen darauf zu – Technologien aus den Anfangstagen des Internets, kontrolliert von zentralen Registraren.

Dieser Widerspruch macht selbst die sicherste Blockchain anfällig. Solange der letzte Schritt zum Nutzer über anfällige Web2-Infrastruktur läuft, bleiben Angriffsflächen bestehen. Dezentrale Alternativen wie ENS existieren – werden aber noch zu selten genutzt.

Was Nutzer jetzt tun sollten

Beide Teams betonen: Die Smart Contracts sind sicher. Dennoch raten sie dringend zu folgenden Schritten:

Berechtigungen widerrufen: Tools wie Revoke.cash zeigen, welche Zugriffsrechte verdächtige Verträge erhalten haben. Diese sollten umgehend entzogen werden.

Nur verifizierte URLs nutzen: Bis zur offiziellen Entwarnung ausschließlich dezentrale Mirrors wie .eth.limo oder .eth.link verwenden.

Transaktionen prüfen: Wallet-Anfragen misstrauen, die keine klaren Details anzeigen oder pauschale “Genehmigungen für alles” verlangen.

Der Vorfall dürfte die Diskussion über dezentrale Frontend-Lösungen beschleunigen. Denn eines hat das Wochenende schmerzhaft bewiesen: Solange DeFi-Plattformen auf zentrale Domain-Registrare angewiesen sind, bleibt die Schwachstelle bestehen – egal wie sicher die Blockchain darunter ist.

PS: Wenn Sie als Entwickler, Betreiber oder IT-Verantwortlicher handeln müssen, liefert das Anti-Phishing-Paket praxisnahe Vorlagen für Notfallpläne, Empfehlungen zur Registrar-Absicherung und Maßnahmen gegen CEO-Fraud. Der Download ist kostenlos und enthält umsetzbare Checklisten, mit denen Sie das Risiko von Domain- und Wallet-Phishing sofort reduzieren können. Jetzt Anti-Phishing-Paket gratis herunterladen