Am 2. September 2025 wurde ein Nutzer des Venus Protocols Opfer eines hochentwickelten Phishing-Angriffs. Der Vorfall führte zunächst zu einem Verlust von rund 13 Millionen US-Dollar, konnte jedoch dank einer schnellen Reaktion des Venus-Teams und mehrerer Sicherheitspartner größtenteils rückgängig gemacht werden.
Der Angriff: Social Engineering, Deepfakes und manipulierte Plugins
Nach der Analyse des Vorfalls stellte sich heraus, dass es sich um eine gezielt geplante Social-Engineering-Kampagne handelte. Die Angreifer, die vermutlich der nordkoreanischen Hackergruppe Lazarus zugeordnet werden können, kombinierten dabei verschiedene Methoden wie Phishing, Deepfake-Technologie und den Einsatz von Schadsoftware. Über einen manipulierten Zoom-Link wurde das Opfer in ein fingiertes Meeting gelockt, in dem eine täuschend echt wirkende Meldung erschien, die zu einem angeblichen „Upgrade“ des Mikrofons aufforderte. Mit dem Klick auf diese Aufforderung installierte sich unbemerkt ein bösartiges Browser-Plugin, das eine bekannte Wallet-Erweiterung imitierte. Auf diese Weise wurde das Opfer dazu gebracht, eine schädliche Transaktion zu unterzeichnen, die den Tätern umfassende Zugriffsrechte auf die Wallet gewährte. Im Anschluss nutzten die Angreifer diese Berechtigungen, um über das Konto des Opfers Gelder zu leihen und unmittelbar auf ihre eigene Wallet umzuleiten.
Besonderheiten des Angriffs
Der Angriff war hochgradig zielgerichtet. Die Angreifer hatten die Wallet-Struktur des Opfers detailliert analysiert und den Angriff exakt auf dessen Positionen im Venus Protocol zugeschnitten. Hinweise deuten darauf hin, dass dabei Deepfake-Videos eingesetzt wurden, um gefälschte Identitäten glaubwürdig darzustellen.
Ein weiteres Merkmal: Trotz Nutzung einer Hardware-Wallet konnte der Angriff erfolgreich sein. Grund war die Manipulation des Frontends, wodurch das Opfer zwar korrekt signierte, jedoch unbemerkt eine bösartige Transaktion bestätigte.
Die Reaktion: Schnelles Eingreifen rettet Millionen
Unmittelbar nach Bekanntwerden des Vorfalls informierte das Opfer das Sicherheitsunternehmen PeckShield, das umgehend die Verbindung zum Venus-Team herstellte.
Die Entwickler von Venus reagierten entschlossen. Das Protokoll wurde vorübergehend pausiert, um weiteren Schaden zu verhindern. Im Zuge der eingeleiteten Maßnahmen wurde der Account des Angreifers zwangsgeliquidiert, sodass die zuvor entwendeten Gelder wiederhergestellt und dem Opfer gutgeschrieben werden konnten.
Neben Venus und PeckShield waren auch Partner wie Binance, Chaos Labs, Hexagate, Hypernative Labs und SlowMist in die Notfallmaßnahmen eingebunden.
Wichtige Sicherheitsmaßnahmen
Der Fall verdeutlicht, wie weit Hackergruppen wie Lazarus ihre Angriffsmethoden entwickelt haben. Besonders kritisch: Selbst erfahrene Nutzer mit Hardware-Wallets sind nicht mehr automatisch geschützt, wenn das Frontend kompromittiert ist.
Es empfiehlt sich, sensible Besprechungen nicht über Zoom abzuhalten, da die Plattform bereits mehrfach für Social-Engineering-Angriffe missbraucht wurde. Zudem sollten Plugins und Wallets ausschließlich aus offiziellen Quellen installiert werden – niemals über Pop-ups oder externe Links. Ein gesundes Maß an Skepsis ist auch gegenüber „halb-vertrauten“ Kontakten angebracht, da Angreifer bewusst Personen nutzen, die nicht völlig unbekannt erscheinen, aber auch nicht zum engen Umfeld gehören. Der Einsatz von Hardware-Wallets bleibt sinnvoll, erfordert jedoch besondere Aufmerksamkeit bei jeder einzelnen Transaktion.
Fazit
Der Phishing-Angriff auf das Venus Protocol zeigt eindrucksvoll, wie professionell und technisch versiert Hackergruppen inzwischen vorgehen. Dass die gestohlenen Gelder wiederhergestellt werden konnten, ist eine seltene Ausnahme und nur dem koordinierten Handeln mehrerer Sicherheitsteams zu verdanken.
Die wichtigste Erkenntnis: Technische Sicherheit allein reicht nicht aus. Menschliche Faktoren wie Vertrauen, Routine und Unachtsamkeit bleiben das Einfallstor für Angriffe – und machen Social Engineering zur größten Bedrohung im DeFi-Bereich.
