Exploit von Edel Finance: On-Chain-Daten zeigen, wie ein fast leerer Wrapper einen Token-Aktien-Kreditgeber kaputt gemacht hat

— By Tony Rabbit in News

Exploit von Edel Finance: On-Chain-Daten zeigen, wie ein fast leerer Wrapper einen Token-Aktien-Kreditgeber kaputt gemacht hat

Ein verpackter Alphabet-Aktien-Token ohne On-Chain-Markt wurde um das 78-fache aufgebläht, um Edel Finance für etwa 403.000 US-Dollar zu belasten. Wir haben die Exploit-Transaktion zurückverfolgt und die Sicherheitsdaten abgerufen, die erklären, warum sie funktioniert hat.

Am 1. Juli 2026 plünderte ein Angreifer Edel Finance, einen DeFi-Kreditmarkt für tokenisierte Aktien, um etwa 403.000 US-Dollar. Der Mechanismus war ungewöhnlich: Das Preisorakel wurde nicht beeinträchtigt. Chainlink hat den tatsächlichen Aktienkurs von Alphabet die ganze Zeit über korrekt gemeldet. Der Schwachpunkt war die Sicherheit selbst, ein verpackter tokenisierter Aktientoken, für den es laut On-Chain-Daten von DEXTools fast keinen Markt gibt. Wir haben die Exploit-Transaktion und die Token-Daten abgerufen, um genau zu zeigen, wie dünn die Sicherheiten waren und warum sie den Angriff ermöglichten.

~403.000 $
Protokoll Forderungsausfälle (vom Team bestätigt)
~78x
Überbewertung der Sicherheiten (ca. 7.700 %)
0
On-Chain-Inhaber des wGOOGLx-Sicherheitstokens
228
ERC-20-Übertragungen in einer Exploit-Transaktion

Der Vorfall auf einen Blick

  • Protokoll: Edel Finance (Edel Lending V1), ein Ethereum-Kreditmarkt für tokenisierte Aktien (xStocks).
  • Wann: 1. Juli 2026, Exploit-Transaktion bestätigt um 00:24:47 UTC in Block 25434062.
  • Wie: Ein Schnellkredit finanzierte wiederholte Einzahlungen in einen Tresor mit verpackten Token, wodurch der interne Wechselkurs des Tresors in die Höhe getrieben wurde, sodass der Preis der Sicherheit etwa 78-mal zu hoch war.
  • Kein Oracle-Feed-Hack: Der Chainlink-Preis für Alphabet blieb die ganze Zeit über bei etwa 357 US-Dollar.
  • Nachwirkungen: wurde in Echtzeit von Blockaid markiert, Gelder wurden an Tornado Cash weitergeleitet und Edel hat alle V1-Kontrakte pausiert.

Was die Exploit-Transaktion tatsächlich zeigt

Wir haben die Exploit-Transaktion im Ethereum-Mainnet geöffnet und unabhängig davon entschlüsselt. Es handelt sich um eine einzelne Vertragserstellungstransaktion, die von einer frisch finanzierten Wallet gesendet wird (0x5842...11C76), und es war die allererste Transaktion dieser Wallet. Darin protokolliert die Quittung 502 Ereignisse, von denen 228 ERC-20-Token-Transfers sind, die 17 verschiedene Token-Verträge betreffen. Diese einzelne Transaktion ist der gesamte Angriff.

Die Übertragungen werden sauber auf den Mechanismus abgebildet. Ein Stablecoin-Flash-Darlehen in Höhe von etwa 180.000 USDC (angeblich von Morpho bezogen) stellte das Betriebskapital bereit. Anschließend schob der Angreifer tokenisierte Alphabet-Aktien (GOOGLx) in den Tresor mit verpackten Token, der wGOOGLx ausgibt, den Token, den Edel als Sicherheit akzeptiert. Entscheidend ist, dass bei der Transaktion nicht nur USDC geliehen wird. Es eröffnet gleichzeitig variable Schuldenpositionen für alle Reserven auf dem Markt: Wir können die internen Schuldentoken des Protokolls für wGOOGLx, wSPYx, wQQQx, wMSTRx, wNVDAx und USDC sehen, die alle innerhalb derselben Transaktion geprägt wurden. Im Klartext: Der Angreifer nutzte die überhöhten Sicherheiten, um den gesamten Kreditpool auszuleihen, nicht nur die Dollarreserve.

VertragRolle beim AngriffÜberweisungen
wGOOGLxWrapped Alphabet xStock, die manipulierten Sicherheiten122
VariableDebtwGOOGLxDer Edel-Schulden-Token wurde geprägt, als der Angreifer Kredite aufnahm41
ewGOOGLxEdel-Lieferbeleg für wGOOGLx40
USDCFlash-Darlehenskapital und eine geliehene Rücklage6
GOOGLxDer zugrunde liegende xStock des Alphabets wurde in den Tresor gespendet2
wSPYx, wQQQx, wMSTRx, wNVDAx, wTSLAx (+ Schulden-Token)Andere Reserven, die gegen die überhöhten Sicherheiten ausgeliehen wurdenje 2

Token-Rollen, die aus dem Exploit-Transaktionsbeleg im Ethereum-Mainnet entschlüsselt wurden. Dem Wallet wurde später eine EIP-7702-Delegation zugewiesen, ein Detail, das mit einem speziell erstellten, verfügbaren Angriffskonto übereinstimmt.

Der Mechanismus: ein Tresorkurs, kein Preisfeed

Der subtile Teil ist, warum ein genauer Chainlink-Preis das Protokoll nicht schützte. Edel bewertete die wGOOGLx-Sicherheiten durch Lesen des eigenen Umrechnungskurses des Wrapped-Token-Tresors, der Menge an zugrunde liegenden GOOGLx, die jede wGOOGLx-Aktie wert ist. Dieser Satz wird über eine standardmäßige tokenisierte Tresorschnittstelle offengelegt und kann durch die direkte Spende von Vermögenswerten in den Tresor erhöht werden. Nach Angaben von Edel und der Sicherheitsfirma SlowMist hat der Angreifer wiederholt GOOGLx eingelöst und gespendet, um das Verhältnis der Vermögenswerte pro Aktie des Tresors von etwa 6 auf fast 79 zu erhöhen. Edels Kreditvertrag sah diesen überhöhten Zinssatz als Evangelium an, sodass eine kleine Menge wGOOGLx plötzlich etwa das 78-fache wert war, was sie hätte sein sollen, was einer Überbewertung von etwa 7.700 % entspricht. Das Orakel sagte die Wahrheit über die Aktie; Das Protokoll stellte die falsche Frage.

Dies ist ein enger Verwandter der klassischen Preismanipulation und gehört zur gleichen Familie wie die Angriffe, die wir in unserer Erklärung behandeln Oracle-Manipulation in DeFi und der ERC-4626-Spendenvektor, detailliert in unserem Anleitung zum Flash-Loan-Angriff. Als Grundursache nannten Analysten einen Bewertungspfad ohne Zinsbegrenzung und ohne Spendenschutz.

Die DEXTools-Daten: Warum die Sicherheit konstruktionsbedingt fragil war

Hier verwandeln die On-Chain-Daten eine Wire-Story in eine strukturelle. Wir haben DEXTools-Token-Daten für die Vermögenswerte abgerufen, die im Zentrum des Angriffs standen. Der Collateral-Token selbst, wGOOGLx, ist praktisch ein Phantom-Asset: DEXTools zeigt ihn mit 0 Inhabern, einem Gesamtangebot von etwa 0,12 Token, keiner Marktkapitalisierung und einem DEXT-Score von 0. Es gibt überhaupt keinen unabhängigen Markt, wurde aber zur Absicherung realer Kredite verwendet.

Die zugrunde liegende tokenisierte Aktie, GOOGLx, sieht auf dem Papier gesünder aus, erzählt aber darunter die gleiche Geschichte. Es hat eine Marktkapitalisierung von etwa 25,7 Millionen US-Dollar, aber nur 350 Inhaber, und sein DEXT-Score lässt sich auf einen Liquiditäts- oder Pool-Subscore von nur 1 von 100 reduzieren. Ein angeblich 25 Millionen US-Dollar werter Vermögenswert mit einem Pool-Score von 1 ist ein Token, der kaum in der Kette gehandelt wird. Diese Geringfügigkeit ist der springende Punkt: Wenn es für einen Vermögenswert fast keinen echten Markt gibt, ist die Übertragung seiner internen Wrapper-Rate günstig.

Sicherheiten-Token (Edel-Reserve)KettenhalterDEXT-Score
wGOOGLx (manipuliert)00
wQQQx2654
wMSTRx3654
wNVDAx3854
wTSLAx4754
wSPYx13269

Aktueller DEXTools-Snapshot des Wrapped-xStock-Sicherheitensatzes von Edel. Die Anzahl der Inhaber ist durchweg gering, und wGOOGLx, der Token, den der Angreifer aufblähen wollte, war der leerste von allen. Die Werte sind eine Live-Momentaufnahme und können sich ändern.

Zusammen gelesen erklären die Zahlen die Zielauswahl. Jede verpackte Reserve auf diesem Markt war klein, aber wGOOGLx war die dünnste, mit null Inhabern und einem vernachlässigbaren Angebot. Das ist genau der Token, den Sie wählen würden, wenn Sie planen, den Wechselkurs eines Tresors mit einer Handvoll Spenden zu verändern. Mit unserem können Sie die gleichen Prüfungen für jeden Token selbst durchführen Token-Sicherheitsprüferund unser Erklärer auf der DEXT-Score deckt ab, was der Liquiditäts-Subscore bedeutet.

Wie viel wurde tatsächlich verloren?

Die Gesamtzahl der uneinbringlichen Forderungen liegt bei etwa 403.000 US-Dollar, die vom Edel-Team bestätigt und von den meisten Verkaufsstellen zitiert wurde. Sie stimmt mit den Daten von DeFiLlama überein, aus denen hervorgeht, dass der Gesamtwert des Marktes von etwa 630.000 US-Dollar auf etwa 947 US-Dollar eingebrochen ist, was als größter Nettoabfluss aller Zeiten beschrieben wird. Es lohnt sich, präzise zu sein, da Sicherheitsfirmen den Verlust unterschiedlich einschätzten: Erste Schätzungen reichten von etwa 204.000 US-Dollar (CertiK) über etwa 353.000 US-Dollar (Cyvers) bis hin zu einem Verlust von etwa 403.000 US-Dollar und einem Angreifergewinn von etwa 305.000 US-Dollar, wie von GoPlus gemeldet. Die Lücke ist die übliche zwischen abgezogenen Mitteln, verbleibenden Forderungsausfällen und dem Nettogewinn des Angreifers. Wir betrachten etwa 403.000 US-Dollar als Protokollverlust und den Rest als Spanne, nicht als eine einzelne abgerechnete Zahl.

Antwort und was sie für DeFi mit tokenisiertem Eigenkapital bedeutet

Edel pausierte alle V1-Verträge, die offline bleiben, und sagte, es würde die uneinbringlichen Schulden absorbieren und die Einlegersalden eins zu eins wiederherstellen. Das Team bot dem Angreifer eine White-Hat-Vereinbarung an, obwohl die Gelder bereits an Tornado Cash weitergeleitet worden waren, und sagte, dass ein neu gestaltetes V2 mit einem neuen Bewertungssystem im Einsatz sei. Die unmittelbare Lektion ist eng und technisch: Leiten Sie niemals einen Sicherheitenpreis aus einem Wrapper-Preis ab, den jeder durch eine Spende in den Tresor herumtreiben kann.

Die umfassendere Lektion ist diejenige, die es aufgrund der DEXTools-Daten schwer macht, sie zu ignorieren. Tokenisierte Aktien sind seit 2026 eines der am schnellsten wachsenden Narrative Robinhoods eigener L2 an Produkt-Push von Coinbase. Aber ein Vermögenswert kann einen realen Preis haben und dennoch fast keinen On-Chain-Markt haben, und dünne Märkte sind fragile Sicherheiten. Das Gleiche haben wir zur Liquiditätsrealität gesagt unser Blick auf den xStocks-Handel auf der BNB Chain. Bevor einem tokenisierten Aktientoken als Sicherheit oder irgendetwas vertraut wird, stellt sich in der Kette nicht nur die Frage, was die Aktie wert ist, sondern auch, ob der Token überhaupt einen Markt hat. Die Überprüfung, ob ein Pool nicht trivial manipuliert werden kann, ist dieselbe Disziplin wie die Überprüfung eines Liquiditätssperre , bevor Sie ihm vertrauen.

Methodik und Haftungsausschluss: Die Fakten zu Vorfällen stammen aus den öffentlichen Erklärungen und Berichten von Edel Finance durch CoinDesk, AMBCrypto, CryptoSlate und andere, wobei die Sicherheitsanalyse Blockaid, SlowMist, GoPlus, Cyvers und CertiK zugeschrieben wird. Die Transaktionsverfolgung (Block 25434062, 228 ERC-20-Transfers, 17 Token-Verträge) wurde unabhängig vom Ethereum-Mainnet entschlüsselt, und die Zahlen für Token-Inhaber, Marktkapitalisierung und DEXT-Score sind ein Live-DEXTools-Schnappschuss, der kurz nach dem Ereignis aufgenommen wurde; Alle Werte in der Kette ändern sich im Laufe der Zeit. Die Verlustschätzungen variieren je nach Unternehmen und werden als Spanne dargestellt. Dieser Artikel dient nur der Information und stellt keine Finanzberatung dar.