Ein Opfer. Sechs Diebstahl-Adressen. Ein Aggregator. Gelder, die sich so schnell bewegen wie ein Block, der bestätigt wird.

Specter, ein On-Chain-Analyst, der in den letzten Monaten konsequent als Erster große Krypto-Sicherheitsvorfälle markiert hat, berichtet von einem Angriff auf eine Opfer-Wallet mit einer geschätzten Schadenssumme von 5,6 Millionen US-Dollar. Alle Vermögenswerte wurden aus BNB Chain und Ethereum abgezogen, in ETH und BNB umgewandelt und dann innerhalb von weniger als 8 Stunden auf eine zentrale Adresse konsolidiert.

Basierend auf den nun verfügbaren Daten von Etherscan, BscScan und Debank rekonstruiert dieser Artikel den Geldfluss des Angriffs vollständig.

Hauptadresse

Konsolidierung (Endempfänger):

0xF9d1b5B22b3D6a889140ca7A39b8d8B411F7f971

Theft-Adressen (Vermittler):

0xaeBFef599DB35a9D817a477EF006033426f8C52A

0xa7429b5930806E8B23de8C4bCA1Df1aa1440B4d5

0xE90295115a10b91b45Ff87244D8da9A6277AC92F

0x5b5B0f2149b4F42cE62C07b42b69B45d48e4981D

0xdf213d5c581920128CA2F663C83F8B797c4B6435

Rekonstruktion des Geldflusses, 4 operative Ebenen

On-Chain-Daten legen eine strukturierte Angriffsarchitektur in vier Ebenen offen. Das ist kein opportunistischer Diebstahl.

Ebene 1, Opfer-Wallet (Quelle der Gelder)

Die Vermögenswerte des Opfers sind auf mindestens sechs unterschiedliche Adressen in Ethereum verteilt, plus aktive Positionen auf der BNB Chain. Am bedeutendsten:

  • 0x68D88015...a70277bf1 sendet 202 ETH + 0,89 ETH an die Theft-Adresse 0xdf213d5c etwa 8 Stunden vor dem Bericht von Specter

  • 0xa410c91A...fCae0D883 finanziert gleichzeitig zwei Theft-Adressen: 0x5b5B0f21 und 0xa7429b59

  • 0xE4fFF80C...9a28EE3bB sendet 768,59 ETH direkt an den Aggregator

  • 0x7F226b23...011183edD sendet 91,26 ETH an den Aggregator

  • 0xd6B373FE...E1BC21BE5 sendet 104,66 ETH an den Aggregator

  • Seite der BNB Chain: 4.300,53 BNB ($2,19M) werden abgezogen und an den Aggregator weitergeleitet

Ebene 2, Theft-Adressen (operative Vermittler)

Fünf Theft-Adressen dienen als erste Sammelpunkte für die unterschiedlichen Geldquellen, bevor alles an einen zentralen Aggregator weitergeleitet wird.

0xdf213d5c... Diese Adresse stiehlt direkt aus der Aave-Kreditposition des Opfers, nicht nur aus frei verfügbaren Guthaben. Die Transaktionsdaten zeigen zwei getrennte Interaktionen mit Aave: USDC V3 und Aave: Ethereum USDT. Das bedeutet, dass der Angreifer die Position des Opfers liquidiert oder das Sicherheitenpaket zwangsweise aus diesem DeFi-Protokoll abgezogen hat. Nachdem 202,89 ETH eingesammelt wurden, leitet diese Adresse 201,8 ETH an den Aggregator weiter. Die verbleibenden 1 ETH werden an eine andere Adresse als Betriebsmittel gesendet. Die Adresse wurde ursprünglich von 0x68D88015... finanziert, und zwar 8 Stunden bevor der Betrieb begann.

0x5b5B0f21... Erhält ETH von 0xa410c91A..., und sendet sie dann vollständig weiter: 352 ETH an den Aggregator in einer einzigen Transaktion.

0xa7429b59... Wird ebenfalls von 0xa410c91A finanziert (dieselbe Quelle wie 0x5b5B0f21...), und sendet anschließend 119,68 ETH direkt an die finale Konsolidierungsadresse — unter Umgehung des Aggregators.

0xaeBFef59... Theft-Adresse mit dem komplexesten Muster. Finanziert von Bridgers (Cross-Chain-Bridge-Dienst), erhält diese Adresse außerdem 64,89 ETH über Relay:Solver und interagiert mit ghostswap.eth, beides DEX-Aggregatoren. Das zeigt, dass ein Teil der Vermögenswerte des Opfers bereits in Form nicht nativer Tokens vorliegt, die erst in ETH umgewandelt (geswapt) werden müssen, bevor sie konsolidiert werden. Gesamt: zwei Überweisungen zur finalen Konsolidierung im Wert von 135,45 ETH + 99,13 ETH.

0xE90295115... Fungiert als Aggregator zwischen (Ebene 3), der Gelder von nahezu allen Theft-Adressen entgegennimmt, bevor er sie an die finale Konsolidierung weiterleitet.

Ebene 3, vorübergehender Aggregator

0xE90295115a10b91b45Ff87244D8da9A6277AC92F übernimmt die Rolle eines zentralen Sammelpunktes. Diese Adresse erhält von fünf verschiedenen Quellen:

  • 0xdf213d5c: 201,8 ETH

  • 0x5b5B0f21: 352 ETH

  • 0xE4fFF80C: 768,59 ETH

  • 0x7F226b23: 91,26 ETH

  • 0xd6B373FE: 104,66 ETH

  • Gesamt-ETH: ~1.518,31 ETH

Die gesamten 1.518,31 ETH werden dann in einer einzigen Transaktion an die finale Konsolidierung gesendet. Derselbe Aggregator leitet außerdem 200 BNB + 4.100,53 BNB auf der BNB-Chain-Seite weiter.

Ebene 4, Finaler Konsolidierungsschritt

0xF9d1b5B22b3D6a889140ca7A39b8d8B411F7f971 ist das endgültige Ziel. Die Adresse wurde erst neu erstellt — die erste Transaktion wurde 5 Stunden vor dem Bericht von Specter erfasst. Gesamt eingegangen:

  • ETH: ~1.872,57 ETH Eingang, Rest 1.772,55 ETH ($2,75M)

  • BNB: ~4.300,53 BNB Eingang, Rest 4.000,51 BNB ($2,19M)

  • Gesamtsaldo zum Zeitpunkt des Berichts: $4.974.103 (Debank)

Das Geld ist bereits in Bewegung. Erfasst sind zwei frühe Abflüsse:

  • 100,02 ETH gehen an 0xC6a7d790...2331c80db hinaus (vor 4 Stunden)

  • 300,015 BNB gehen an 0xE2a81d00...2A7bE2E90 hinaus (vor 3 Stunden)

Kritische Erkenntnis: Aave-Positionen ebenfalls ausgeraubt

Dass 0xdf213d5c direkt mit Aave USDC V3- und Aave USDT-Kontrakten interagiert, offenbart etwas Wichtiges: Das Opfer hat nicht nur Vermögenswerte in seinen Wallets verloren, sondern auch aktive DeFi-Positionen in Aave.

Das ist nur möglich, wenn der Angreifer vollständigen Zugriff auf die privaten Keys des Opfers hat, nicht nur eine gestohlene Token-Genehmigung (Token approval). Mit den privaten Keys kann der Angreifer jede Transaktion signieren: einschließlich dem Abziehen von Sicherheiten, dem Zurückzahlen von Krediten oder der Liquidation von Lending-Positionen im Namen des Opfers.

Das bestätigt den Angriffsvorrang: kompromittierte private Keys, kein Smart-Contract-Exploit.

Beteiligung von Bridgers und ghostswap.eth

0xaeBFef59 wird von Bridgers finanziert, einem Cross-Chain-Bridge-Dienst. Das deutet darauf hin, dass ein Teil der Vermögenswerte des Opfers von einer anderen Chain stammt, oder dass der Angreifer eine Bridge nutzt, um die Herkunft der Gelder vor Beginn der Operation zu verschleiern.

Die Einbindung von ghostswap.eth und Relay:Solver in dieselbe Theft-Adresse zeigt, dass nicht alle Vermögenswerte des Opfers reines ETH sind; ein Teil sind ERC-20-Tokens, die zuerst geswapt werden müssen. Der Angreifer nutzt DEX-Aggregatoren, um den Slippage vor der Konsolidierung zu minimieren.

Sie (der Exploiter) sind keine Anfänger

Einige auffällige Merkmale dieser Operation:

Geschwindigkeit. Die gesamte Operation (vom Abziehen der Quellen bis zur Konsolidierung) war in weniger als 8 Stunden abgeschlossen. Es gab keine nennenswerten Pausen zwischen den Ebenen.

Aufgabentrennung. Die Nutzung von fünf Theft-Adressen mit unterschiedlichen Funktionen, einem Aggregator und einer finalen Konsolidierung zeigt eine bewusst getrennte Rollenverteilung zwischen Betriebs-Wallets und Verwahr-Wallets. Dieses Muster ist identisch mit der Infrastruktur, die von organisierten Bedrohungsgruppen verwendet wird.

Umgang mit DeFi-Positionen. Die Fähigkeit, die Aave-Positionen des Opfers präzise zu identifizieren und zu liquidieren, zeigt, dass der Angreifer zuerst eine Erkundung (Reconnaissance) durchgeführt hat: Er wusste genau, welche Vermögenswerte das Opfer besitzt und wo sie positioniert sind, bevor der Angriff begann.

Nutzung von DEX-Aggregatoren. Das Swappen von Tokens über ghostswap.eth und Relay:Solver vor der Konsolidierung zeigt ein Augenmerk auf Effizienz bei der Ausführung, nicht nur auf Geschwindigkeit.

Aktueller Status

Basierend auf den zuletzt verfügbaren Daten befindet sich das Geld nach wie vor überwiegend in der Konsolidierungsadresse und es hat noch keinen großen Geldwäsche-Vorgang gegeben. Das könnte bedeuten, dass entweder der Angreifer auf den richtigen Moment wartet, oder dass die Geldwäsche schrittweise über kleinere Outflows erfolgt, die bereits erfasst wurden.

Der wahrscheinlichste nächste Schritt basierend auf ähnlichen Fallmustern: Routing über Tornado Cash oder Railgun für die ETH-Seite; Bridging zu TRON für die Umwandlung von USDT über ein OTC-Desk; oder Bridging über THORChain zu Bitcoin oder Monero.

Keine offiziellen Aussagen des Opfers, keine öffentliche Kommunikation, keine Hinweise auf eine Rückholung der Gelder.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

On-Chain-Daten: Etherscan, BscScan, Debank. Erste Quelle: Specter (@SpecterAnalyst). Dieser Artikel wurde auf Basis der am 29. Juni 2026 verfügbaren Daten verfasst.

Quelle:

  1. Specter (@SpecterAnalyst): Incident-Report-Beitrag auf X/Telegram

  2. Etherscan: Transaktionsdaten der Adresse 0xF9d1b5B22b3D6a889140ca7A39b8d8B411F7f971

  3. BscScan: Transaktionsdaten der BNB-Chain-Adresse mit derselben Entsprechung

  4. Etherscan: Transaktionsdaten der Theft-Adresse 0xaeBFef599DB35a9D817a477EF006033426f8C52A

  5. Etherscan: Transaktionsdaten der Theft-Adresse 0xa7429b5930806E8B23de8C4bCA1Df1aa1440B4d5

  6. Etherscan: Transaktionsdaten der Theft-Adresse 0xE90295115a10b91b45Ff87244D8da9A6277AC92F

  7. Etherscan: Transaktionsdaten der Theft-Adresse 0x5b5B0f2149b4F42cE62C07b42b69B45d48e4981D

  8. Etherscan: Transaktionsdaten der Theft-Adresse 0xdf213d5c581920128CA2F663C83F8B797c4B6435

  9. Debank: Multi-Chain-Portfolio-Profil der Konsolidierungsadresse ($4,974,103)

  10. Cryptopolitan: „Investigators draw connection between KelpDAO and Humanity hackers on-chain“ (Juni 2026)

  11. BeInCrypto: „Gravity Bridge Loses $5.4 Million in Suspected Signing Key Compromise“ (Mai 2026)

  12. Arkham Intelligence (im Quellen-Screenshot)