Cork-Protokoll für 12 Millionen US-Dollar im wstETH-Abfluss ausgenutzt – DeFi Hack News 2026

Cork Protocol, eine auf Ethereum basierende Plattform, die sich auf die Tokenisierung des Depeg-Risikos konzentriert, wurde für etwa 12 Millionen US-Dollar in eingewickelter ETH (wstETH) aufgelöst. Der Angreifer nutzte einen böswilligen Vertrag, um 3.761,87 WstETH aus den Tresoren des Protokolls abzuheben, und konsolidierte den Erlös dann in Roh-ETH, ohne ihn sofort zu waschen. Verträge wurden innerhalb weniger Stunden pausiert. Der Exploit ist der neueste in einer Reihe von DeFi Sicherheitsmängel, die das Jahr 2026 geprägt haben.

Was ist passiert?

Das Cork-Protokoll gab bekannt, dass ein Angreifer über eine böswillige Vertragsinteraktion 3.761,87 wstETH, was zu aktuellen Preisen etwa 12 Millionen US-Dollar wert ist, aus dem Protokoll abgezogen hat. Der Exploit konnte innerhalb weniger Stunden eingedämmt werden, und Cork pausierte die entsprechenden Smart Contracts, um weiteren Verlust zu verhindern. Das gestohlene wstETH wurde ausgepackt und in natives ETH umgewandelt und dann in einer einzigen, vom Angreifer kontrollierten Adresse konsolidiert.

Bei den letzten Kontrollen in der Kette wurden die Gelder nicht über Tornado Cash, Railgun oder eine kettenübergreifende Brücke bewegt. Dieses Warteschleifenmuster ist bemerkenswert. Bei vielen DeFi-Exploits versuchen Angreifer, innerhalb weniger Stunden Gelder zu waschen. Der Angreifer von Cork hat die Erlöse bisher in der ETH geparkt, was zumindest ein theoretisches Fenster zur Wiederherstellung offen lässt, wenn Cork oder die Strafverfolgungsbehörden über eine Rückgabe verhandeln können.

Cork hat die vollständige technische Obduktion des Exploits nicht offengelegt. Die öffentlichen Mitteilungen des Protokolls bestätigen das böswillige Vertragsmuster und den Rückzug von wstETH, die genaue Schwachstelle wurde jedoch nicht veröffentlicht. Diese Lücke ist typisch für die ersten 48 Stunden nach einem Hackerangriff, während die Teams forensische Untersuchungen durchführen und Kompromisse bei der Offenlegung abwägen.

Was das Cork-Protokoll tatsächlich tut

Cork ist ein relativ junges DeFi-Primitiv, das sich auf ein Nischen-, aber interessantes Problem konzentriert: die Tokenisierung des Risikos der Vermögenstrennung. Mit dem Protokoll können Benutzer „Depeg-Swaps“ kaufen und verkaufen, Instrumente, die sich auszahlen, wenn ein Zielwert, zum Beispiel stETH oder USDC, um mehr als einen definierten Schwellenwert von seiner erwarteten Bindung abweicht. Die Struktur ähnelt Credit Default Swaps im traditionellen Finanzwesen.

Um diese Swaps zu unterstützen, hält Cork den zugrunde liegenden Vermögenswert, in diesem Fall wstETH, in Sicherheitentresoren. Der Depeg-Swap wird dann aus diesen Tresoren ausgezahlt, wenn ein Depeg-Ereignis ausgelöst wird. Die Tresore sind genau die Oberfläche, auf die der Exploit abzielte: Durch die Interaktion über einen böswilligen Vertrag konnte der Angreifer Sicherheiten ohne den entsprechenden Depeg-Trigger extrahieren.

Das Produkt selbst ist konzeptionell solide. Bei dem Exploit handelt es sich um einen Smart-Contract-Fehler bei der Implementierung, nicht um einen Fehler des Depeg-Swap-Wirtschaftsmodells. Diese Unterscheidung ist für jede Neuerstellung wichtig: Das zugrunde liegende Produkt kann einen Sicherheitsvorfall überstehen, wenn das Team die Schwachstelle artikulieren, sie patchen, die Fehlerbehebung prüfen und transparent mit den Hinterlegern kommunizieren kann.

Wo sich dies in der Hack-Landschaft 2026 befindet

2026 war ein brutales Jahr für die DeFi-Sicherheit. Der Gesamtbetrag, der in diesem Jahr aus DeFi-Protokollen gestohlen wurde, übersteigt bereits 2 Milliarden US-Dollar. Der größte Einzelvorfall bleibt der KelpDAO-Bridge-Exploit im Wert von 292 Millionen US-Dollar, der der nordkoreanischen Lazarus-Gruppe zugeschrieben wird und durch die Manipulation von vergifteten RPCs 116.500 rsETH abgezogen hat. Drift Protocol verlor 280 Millionen US-Dollar durch einen separaten, mit Lazarus in Verbindung stehenden Angriff auf Solana. Das Cetus-Protokoll auf Sui verlor 223 Millionen US-Dollar durch einen AMM-Überlauffehler. Die Ethereum-Brücke von Verus wurde im Mai für über 5.400 ETH-Äquivalent ausgenutzt.

Corks 12 Millionen US-Dollar sind im Vergleich zwar gering, passen aber in ein Muster. Die meisten 2026-Exploits haben ihren Ursprung in einem von drei Vektoren: Bridge-Verifizierungsfehlern, Oracle-Manipulation oder Smart-Contract-Logikfehlern in neueren Protokollen, die vor Abschluss gründlicher Prüfungen skaliert wurden. Kork fällt in die dritte Kategorie. Das Protokoll ist jung, das Produkt neu und die Angriffsfläche so komplex, dass selbst wohlmeinende Prüfer kritische Pfade übersehen können.

Auswirkungen auf den Markt

Die direkten Auswirkungen auf wstETH und das breitere Ethereum-Absteck-Ökosystem sind minimal. Der stETH-Float von Lido beläuft sich auf über 30 Milliarden US-Dollar, und die verpackte Variante wstETH zirkuliert in ähnlicher Höhe. Eine Extraktion in Höhe von 12 Millionen US-Dollar liegt deutlich innerhalb der Rauschbandbreite normaler Liquiditätsströme. Lido selbst ist davon nicht betroffen: Das wstETH wurde in den Tresoren von Cork aufbewahrt, nicht in den Verträgen von Lido.

Die breitere Marktreaktion war gedämpft. Der ETH-Preis reagierte nicht nennenswert auf die Offenlegung, und stETH blieb weiterhin eng an seinem Kurs gebunden. Der begrenzte Charakter des Exploits in Kombination mit der geringen Größe von Cork im Vergleich zu den großen DeFi-Protokollen hielt die Ansteckung in Grenzen.

Für die Einleger von Cork sind die Auswirkungen direkter. Der TVL des Protokolls ist jetzt um den gestohlenen Betrag niedriger, und die Wiederherstellung hängt von Verhandlungen mit dem Angreifer oder eventuellen Maßnahmen der Strafverfolgungsbehörden ab. Das Team hat noch keinen Abhilfeplan veröffentlicht, einschließlich der Frage, ob betroffene Benutzer vom Finanzministerium entschädigt werden oder ob das Protokoll nach einem Patch und einer Prüfung den Betrieb wieder aufnehmen wird.

Kontext: die Wiederherstellungsfrage

Eine Besonderheit des Cork-Exploits ist das Verhalten des Angreifers nach dem Diebstahl. Die Gelder bleiben unvermischt an einer einzigen Adresse in der ETH. Dieses Muster steht manchmal im Einklang mit White-Hat- oder Grey-Hat-Aktivitäten, bei denen ein Ausbeuter beabsichtigt, Gelder gegen ein Kopfgeld zurückzugeben. Es steht auch im Einklang mit der Tatsache, dass Angreifer die anfängliche Prüfungsphase abwarten, bevor sie Geldwäsche betreiben, in der Hoffnung, dass die Compliance-Aufmerksamkeit nachlässt.

Cork hat nicht bekannt gegeben, ob die On-Chain-Kommunikation mit dem Angreifer begonnen hat. Bei mehreren früheren Vorfällen haben Protokolle erfolgreich Rückgaben ausgehandelt, indem sie 10 bis 20 % der gestohlenen Gelder als Bug-Bounty und eine Vereinbarung ohne Strafverfolgung angeboten haben. Der Fall des Cetus-Protokolls Anfang 2026 ist ein relevanter Präzedenzfall: Cetus bot dem Hacker ein Kopfgeld von 6 Millionen US-Dollar für den Diebstahl von 223 Millionen US-Dollar an, und Verhandlungen über eine teilweise Wiederherstellung fanden öffentlich in der Kette statt.

Wenn der Cork-Angreifer eine ähnliche Kopfgeldvereinbarung akzeptiert, könnte das Protokoll beträchtliches Kapital zurückgewinnen und den Betrieb wieder aufnehmen. Wenn nicht, werden die Gelder wahrscheinlich für einen längeren Zeitraum in der ETH verbleiben, bevor es zu einer Bewegung kommt, da die zunehmende Aufmerksamkeit der Strafverfolgungsbehörden für Krypto-Geldwäschewege diskrete Ausstiege wesentlich schwieriger gemacht hat als noch vor zwei Jahren.

So verfolgen Sie

Das gestohlene wstETH und sein ETH-Derivat können auf Etherscan über die konsolidierte Adresse des Angreifers verfolgt werden, die von mehreren Forensik-Konten in der Kette veröffentlicht wurde. Die Verlagerung dieser Mittel, insbesondere in einen Mischer oder eine Brücke, wäre das erste Signal dafür, dass eine Erholung unwahrscheinlich ist.

Für Cork-Benutzer sind die offiziellen Protokollkanäle die einzige Quelle für Entschädigungen oder Neustartfristen. Generische DeFi-Überwachungsdienste, einschließlich DeFiLlama und DexTools, spiegeln jede TVL- oder Handelserholung wider, sobald sie eintritt.

FAQ

Ist das Cork-Protokoll noch funktionsfähig?

Der Betrieb wird ab dem Exploit angehalten. Das Team hat noch keinen Zeitplan für den Neustart bekannt gegeben. Der zukünftige Betrieb hängt von der Behebung der Schwachstelle, dem Abschluss der Prüfung und etwaigen Vergütungsplänen für betroffene Benutzer ab.

Sind Lido-Benutzer betroffen?

Nein. Der Exploit hat WstETH erschöpft, das in Corks Tresoren aufbewahrt wurde, nicht in Lidos Verträgen. stETH und wstETH werden weiterhin normal gehandelt und die Lido-Infrastruktur ist davon nicht betroffen.

Können die Gelder zurückgefordert werden?

Möglicherweise. Die gestohlene ETH verbleibt an einer einzigen, vom Angreifer kontrollierten Adresse, an der noch keine Geldwäscheaktivitäten stattfinden. Die Wiederherstellung hängt von Verhandlungen, einer freiwilligen Rückkehr oder eventuellen Strafverfolgungsmaßnahmen ab.

Stand der Cork-Exploit mit Nordkorea in Zusammenhang?

Es wurde keine öffentliche Namensnennung vorgenommen. Mehrere große DeFi-Exploits im Jahr 2026 wurden mit der Lazarus Group in Verbindung gebracht, aber Cork wurde zum Zeitpunkt der öffentlichen Berichterstattung nicht mit staatlich geförderten Akteuren in Verbindung gebracht.

Wie ist das im Vergleich zu den größeren Hacks von 2026?

Der Cork-Verlust in Höhe von 12 Millionen US-Dollar ist im Vergleich zu den Vorfällen mit KelpDAO in Höhe von 292 Millionen US-Dollar, Drift in Höhe von 280 Millionen US-Dollar oder Cetus in Höhe von 223 Millionen US-Dollar gering. Es passt zu einer stetigen Kadenz mittelgroßer DeFi-Exploits, die zusammengenommen den Großteil der DeFi-Verluste von über 2 Milliarden US-Dollar im Jahr 2026 ausmachen.