Garden Finance: Brücken-Protokoll verliert 11 Mio. Dollar durch

Das Cross-Chain-Bridge-Protokoll Garden Finance ist Opfer eines Exploits geworden. Ein kompromittierter Solver – im Kern der Marktmacher-Mechanismus für kettenübergreifende Transaktionen – ermöglichte einem Angreifer den Abfluss von rund 11 Millionen US-Dollar. Das Team reagierte mit einer ungewöhnlichen Mischung aus Belohnungsangebot und öffentlicher Fehlersuche: 10 Prozent der gestohlenen Summe sollen an den Täter gehen, falls dieser die Gelder zurückgibt. Gleichzeitig bittet das Protokoll die Sicherheits-Community um Hilfe bei der genauen Analyse des Angriffspfads.

Der Angriff und seine Implikationen

Garden Finance betont, dass Nutzergelder durch den Exploit nicht betroffen seien. Dies deutet darauf hin, dass die Schwachstelle in der operativen Infrastruktur des Protokolls lag – nicht in den von Anlegern hinterlegten Vermögenswerten. Solver fungieren als Mittler, die Aufträge zwischen verschiedenen Blockchains abgleichen und ausführen. Ihre Kompromittierung ist besonders heikel, da sie oft mit weitreichenden Berechtigungen ausgestattet sind.

Sicherheitsforscher haben bereits Bedenken geäußert, ob der kompromittierte Solver wirklich ein unabhängiger Dritter war oder Teil der internen Infrastruktur von Garden Finance. Im letzteren Fall wäre die Verwundbarkeit nicht auf einen externen Angreifer zurückzuführen, der ein erlaubnisoffenes System ausnutzt, sondern auf ein Versagen des Protokolls bei der eigenen Schlüsselverwaltung und Betriebssicherheit. Viele Bridge-Protokolle verlassen sich auf eine kleine Anzahl vertrauenswürdiger Akteure, um Nachrichten zwischen Chains zu verifizieren und weiterzuleiten. Sind diese Akteure kompromittiert – durch Social Engineering, schlechte Schlüsselhygiene oder Insider-Zugriff – kann das gesamte System kollabieren.

Brücken bleiben das schwächste Glied

Sicherheitsanalysten warnen seit langem, dass viele Bridge-Architekturen strukturell anfällig sind. Sie beruhen auf schwacher Nachrichtenverifikation und zentralisierter Schlüsselverwaltung. Bridges sitzen an der Schnittstelle mehrerer Vertrauensmodelle und müssen deren Unterschiede ausgleichen – oft durch off-chain Relayer oder Multisig-Schemata, die Zentralisierungsrisiken einführen.

Der Vorfall bei Garden Finance reiht sich ein in eine Serie von Bridge-Exploits. Erst kürzlich zog ein MEV-Bot 11,33 Millionen Dollar aus der Ronin Bridge ab – die Betreiberfirma Sky Mavis betonte damals ebenfalls, dass die Kernreserven sicher seien. Die Ronin Bridge war zuvor Schauplatz eines der größten DeFi-Exploits aller Zeiten: 620 Millionen Dollar, gestohlen von nordkoreanischen Hackern. Dieses Ereignis gilt als Lehrstück dafür, warum die Zentralisierung von Vertrauen in eine kleine Gruppe von Validatoren katastrophale Single-Points-of-Failure schafft. Auch die Wormhole Bridge erlitt einen separaten Exploit über 322 Millionen Dollar.

Bewertung aus Anlegersicht

Die 10-Prozent-Belohnung von Garden Finance soll den Angreifer dazu bewegen, eine garantierte Auszahlung dem Risiko der Verfolgung und Strafverfolgung vorzuziehen. Dass das Team gleichzeitig um Hilfe bei der Ursachenforschung bittet, zeigt: Man ist noch dabei, das genaue Geschehen zu rekonstruieren. Jede Bridge-Interaktion ist eine implizite Wette darauf, dass die off-chain-Infrastruktur, das Schlüsselmanagement und die Smart-Contract-Logik gleichzeitig und unter feindlichen Bedingungen korrekt funktionieren.

Für Anleger im DACH-Raum bleibt die steuerliche Einordnung solcher Verluste relevant: Ein Totalverlust durch einen Bridge-Exploit kann unter Umständen als Veräußerungsverlust im Sinne von § 22 EStG geltend gemacht werden, wenn die Kryptowährung innerhalb der einjährigen Haltefrist veräußert wird. Die genauen Umstände – ob der Verlust durch einen Diebstahl oder einen technischen Fehler eintritt – können steuerlich unterschiedlich bewertet werden. Eine frühzeitige Dokumentation des Vorfalls ist daher empfehlenswert.