Benutzer verliert 1,08 Millionen USD in Aave Ethereum LBTC aufgrund einer bösartigen Unterschrift
Bei einem erheblichen Sicherheitsvorfall am 2. Januar 2026 verlor ein Kryptowährungsinvestor 1,08 Millionen USD, nachdem er Opfer eines Phishing-Angriffs wurde, der Aave Ethereum LBTC (Lombard Staked Bitcoin) betraf. Der Diebstahl ereignete sich, als der Benutzer unwissentlich eine bösartige Genehmigungsunterschrift auf einer betrügerischen Website unterzeichnete, die das Lombard Finance- oder Aave-Interface perfekt nachahmte. Durch die Bereitstellung dieser Off-Chain-Unterschrift gewährte das Opfer einem "Drainer"-Vertrag die volle Erlaubnis, seine LBTC-Bestände abzuheben, die der Angreifer dann sofort liquidierte und durch dezentrale Mixer bewegte. Dieser Vorfall hebt die zunehmende Raffinesse von "unterschriftsbasierten" Betrügereien hervor, bei denen Benutzer dazu gebracht werden, Geldtransfers zu genehmigen, ohne jemals ihre privaten Schlüssel oder Seed-Phrasen preiszugeben.
Wichtige Erkenntnisse aus dem Vorfall
Das Asset: Das Opfer hielt LBTC, ein Liquid-Staking-Token für Bitcoin, das seit Ende 2025 ein enormes Wachstum im TVL (Total Value Locked) auf Aave verzeichnet hat.
Die Methode: Angreifer verwendeten EIP-712-Unterschriften, die oft als "harmlos" erscheinende Textfelder in einer Brieftasche wie MetaMask auftreten, was es für durchschnittliche Benutzer schwieriger macht, sie als hochriskante Genehmigungen zu identifizieren.
Die Geschwindigkeit: Sobald die Unterschrift erfasst war, wurde der Abfluss automatisiert; die 1,08 Millionen USD waren in einem einzigen Transaktionsblock verschwunden.
