White-Hat Hacker gibt 190.000 Dollar nach Exploit bei Renegade.fi auf Arbitrum zurück

Das DeFi-Protokoll Renegade.fi hat bestätigt, dass ein White-Hat Hacker rund 190.000 Dollar zurückgegeben hat, nachdem er eine Sicherheitslücke im Arbitrum-Netzwerk ausgenutzt hatte. Beim Angriff erbeutete er insgesamt etwa 209.000 Dollar in Krypto-Token aus einem sogenannten Dark Pool des Protokolls.

Blockaid entdeckte den Exploit am Sonntag. Laut dem Sicherheitsanbieter nutzte der Angreifer eine Schwachstelle in der Software von Renegade.fi aus, indem er Schadcode in eine fehlerhafte Funktion innerhalb des V1-Arbitrum-Dark-Pools einschleuste.

So gelang es ihm, 27 verschiedene ERC-20-Token zu entwenden.

Blockchain-Daten von Arbiscan zeigen, dass der Hacker den Großteil der Beute anschließend an eine Wallet von Renegade zurückschickte. Zu den rückerstatteten Beträgen zählten unter anderem rund 84.370 Dollar in USDC, knapp 28.000 Dollar in Wrapped Bitcoin (WBTC) sowie knapp 24.000 Dollar in Wrapped Ether (WETH).

Renegade.fi bot Hacker eine White-Hat-Belohnung an

Kurz nach dem Angriff richtete Renegade.fi eine On-Chain-Nachricht an den Hacker, in der er darum gebeten wurde, nur 90 Prozent der gestohlenen Mittel zurückzugeben. Im Gegenzug durfte der Angreifer die verbleibenden zehn Prozent als White-Hat-Belohnung behalten.

Laut Renegade sollte dieses Angebot mögliche zivil- oder strafrechtliche Konsequenzen abwenden.

Der Hacker nahm das Angebot rasch an und überwies innerhalb von 45 Minuten mehr als 90 Prozent der gestohlenen Kryptowerte zurück.

In einer Stellungnahme erklärte der Angreifer, sein Vorgehen habe dem Schutz der Nutzer des DeFi-Protokolls gedient.

„Obwohl ich verstehe, dass mein Handeln unethisch war, halte ich dies für die beste Lösung, um die Gelder der Nutzer zu schützen.“

Darüber hinaus übte der Hacker Kritik an der Absicherung des Protokolls. Die Schwachstelle sei „viel zu einfach“ gewesen, um sie auszunutzen. Zudem warnte er, dass nordkoreanische Hacker oder professionelle Cyberkriminelle wohl niemals bereit gewesen wären, die Mittel zurückzugeben.

Exploit durch Fehler in Software-Update verursacht

Laut Renegade.fi entstand die Sicherheitslücke durch einen Fehler in einem Software-Update vom April 2025: Aufgrund einer fehlerhaften Implementierung wurde einem wichtigen Smart Contract kein expliziter Eigentümer zugewiesen.

Dadurch konnte praktisch jeder Änderungen an dem mit der V1 Arbitrum Dark Pool verknüpften Smart-Contract vornehmen.

Ein Dark Pool ist eine nicht öffentliche Handelsplattform, Marktteilnehmer nutzen sie, um große Transaktionen abwickeln zu können, ohne unmittelbar für den übrigen Markt sichtbar zu sein. Sie wird häufig genutzt, um umfangreiche Kauf- und Verkaufsaufträge auszuführen, ohne den Marktpreis zu verzerren.

Betroffene Nutzer werden vollständig entschädigt

Wie das Unternehmen mitteilt, entschädigt Renegade.fi alle betroffenen Nutzer vollständig. Laut Protokoll liefen lediglich etwa sieben Prozent des gesamten Handelsvolumens über den betroffenen Dark Pool auf Arbitrum.

Das Unternehmen arbeitet außerdem an einem ausführlichen „Postmortem“-Bericht, in dem die genaue Ursache des Sicherheitsvorfalls detailliert aufgearbeitet wird.

Trotz verbesserter Sicherheitsmaßnahmen bleibt der Kryptosektor ein regelmäßiges Angriffsziel. Dabei übernehmen White-Hat Hacker eine zunehmend wichtige Rolle, indem sie Schwachstellen aufdecken, bevor böswillige Akteure größeren Schaden anrichten können.