Eine der bekanntesten DeFi-Plattformen im Solana-Ökosystem, Step Finance, ist Opfer eines schweren Cyberangriffs geworden. Unbekannte Angreifer erbeuteten nach Unternehmensangaben rund 40 Mio. US‑Dollar in Krypto-Assets, indem sie mehrere Treasury-Wallets kompromittierten. Der Fall zeigt eindrücklich, wie gefährlich Schwachstellen auf Endgeräten von Führungskräften für DeFi-Infrastrukturen sein können.
Cyberangriff auf Step Finance: Ablauf und betroffene Krypto-Assets
Der Sicherheitsvorfall wurde am 31. Januar 2026 entdeckt. Step Finance reagierte nach eigenen Angaben schnell, informierte Strafverfolgungsbehörden und zog externe IT-Sicherheitsberater hinzu. Durch dieses Vorgehen konnten der Umfang des Angriffs zügig dokumentiert und erste Maßnahmen zur Rückgewinnung der Mittel eingeleitet werden.
Step Finance fungiert im Solana-Ökosystem als DeFi-Dashboard und Asset-Management-Plattform. Nutzer können dort Portfolios visualisieren, Positionen verfolgen sowie Transaktionen, Swaps und Staking-Vorgänge ausführen. Die Plattform verfügt über einen eigenen Token $STEP, der jedoch im Vergleich zu anderen DeFi-Assets eher moderate Handelsvolumina aufweist.
Laut offizieller Stellungnahme wurden mehrere Treasury-Wallets kompromittiert. Die Angreifer verschafften sich Zugang, indem sie Endgeräte von Projektverantwortlichen über einen „bekannten Angriffsvektor“ infiltrierten. In der Praxis umfasst dies typischerweise Phishing-Kampagnen, den Einsatz von Malware, die Ausnutzung von Browser- und Messenger-Schwachstellen oder die Übernahme von Cloud-Accounts, die für Schlüsselverwaltung oder Transaktionsfreigaben genutzt werden.
Schadenshöhe: von 28,9 Mio. auf 40 Mio. US‑Dollar – und teilweise Rückgewinnung
Erste Schadensschätzungen stammen von den Blockchain-Analysten CertiK. Deren On-Chain-Analyse ergab, dass von Step-Finance-Wallets 261.854 SOL abgeflossen waren – zum Zeitpunkt des Angriffs rund 28,9 Mio. US‑Dollar. Nach einer internen Untersuchung bezifferte Step Finance den Gesamtschaden jedoch auf 40 Mio. US‑Dollar, da zusätzlich weitere Token und verbundene Positionen betroffen waren.
Trotz der erheblichen Verluste gelang es der Plattform, einen Teil der gestohlenen Gelder zu sichern oder zurückzuholen. Nach Angaben des Unternehmens konnten rund 3,7 Mio. US‑Dollar in Remora-Assets sowie etwa 1 Mio. US‑Dollar in weiteren Positionen wieder unter Kontrolle gebracht werden. Eine wesentliche Rolle spielte dabei der Solana-Standard Token22, der erweiterte Kontrollmechanismen für Token bereitstellt.
Token22 ermöglicht es, unter bestimmten Bedingungen Restriktionen auf Token-Transfers zu legen, etwa Blacklisting verdächtiger Adressen oder Einschränkungen für bestimmte Funktionen. Wenn solche Kontrollen im Vorfeld sauber konfiguriert sind, können sie Angreifern das Abziehen oder Umlagern von Assets deutlich erschweren und im Ernstfall eine schnelle Sperrung verdächtiger Transaktionen unterstützen.
Reaktion von Step Finance, Status von Remora und Hinweise an Nutzer
Als unmittelbare Reaktion auf den DeFi-Cyberangriff hat Step Finance Teile seines Betriebs vorübergehend ausgesetzt, um einen umfassenden technischen Audit durchzuführen und die Sicherheitsarchitektur zu stärken. Dieses Vorgehen ist branchenüblich, um die Angriffsfläche in der akuten Phase zu verkleinern und mögliche Folgeschäden zu verhindern.
Besonderes Augenmerk galt dem verbundenen Projekt Remora Markets. Laut Step Finance blieb die Remora-Infrastruktur operativ von der Attacke isoliert. Sämtliche rTokens seien weiterhin 1:1 gedeckt, und Remora selbst sei nicht direkt von der Kompromittierung der Treasury-Wallets betroffen gewesen.
Nutzerinnen und Nutzern wurde dennoch empfohlen, vorerst keine Transaktionen mit dem STEP-Token durchzuführen, bis die Ermittlungen abgeschlossen sind und ein finaler Wiederherstellungsplan veröffentlicht wurde. Die Projektverantwortlichen erstellten einen Snapshot des Systemzustands vor dem Angriff und arbeiten nach eigener Aussage an einem Mechanismus zur Entschädigung oder alternativen Lösung für STEP-Inhaber, deren Interessen durch den Vorfall beeinträchtigt sein könnten.
Offene Fragen und die Rolle möglicher Insider im DeFi-Sektor
Step Finance hat bislang weder detaillierte technische Informationen zum Angriff veröffentlicht noch Hinweise zu den möglichen Tätern gegeben. Laut dem Fachportal Bleeping Computer hat diese Zurückhaltung Spekulationen über Insiderbeteiligung oder eine inszenierte Attacke angefacht. Aktuell existieren dazu jedoch weder belastbare Bestätigungen noch offizielle Dementis.
Solche Vermutungen sind im DeFi-Bereich nicht ungewöhnlich. Analysen zahlreicher Vorfälle zeigen, dass ein signifikanter Anteil der Schäden mit dem Faktor Mensch zusammenhängt: unzureichende Schlüsselverwaltung, Missbrauch privilegierter Zugänge, fehlende Trennung von Rollen oder ungesicherte Laptops und Smartphones von Gründern und C-Level-Executives. Gerade in Projekten mit zentralisierten Treasury-Adressen kann ein einziger kompromittierter Schlüssel Verluste in zweistelliger Millionenhöhe nach sich ziehen.
DeFi-Sicherheitslage 2026: Was der Fall Step Finance verdeutlicht
Der Verlust von 40 Mio. US‑Dollar bei Step Finance ist schwerwiegend, macht jedoch nur etwa zehn Prozent des gesamten Schadens aus, den Krypto-Projekte im Januar 2026 verzeichneten. Nach Daten von CertiK wurden allein in diesem Monat durch verschiedene Hacks und Betrugsfälle etwa 398 Mio. US‑Dollar entwendet, während lediglich rund 4,366 Mio. US‑Dollar wiederhergestellt werden konnten.
Diese Zahlen bestätigen einen anhaltenden Trend: DeFi-Plattformen und Blockchain-Infrastrukturen gehören weiterhin zu den bevorzugten Zielen professioneller Cyberkrimineller. Neben Schwachstellen in Smart Contracts stehen längst auch klassische Angriffswege im Fokus, die aus der Unternehmens-IT bekannt sind – Phishing-Mails, schädliche Anhänge, kompromittierte Browser-Erweiterungen, infizierte Mobilgeräte oder gezielte Angriffe auf die Arbeitsgeräte des Managements.
Der Step-Finance-Hack zeigt, dass kompromittierte Endgeräte von Führungskräften selbst hochentwickelte On-Chain-Sicherheitsmechanismen aushebeln können. Für DeFi-Projekte wird es damit unerlässlich, eine mehrschichtige Sicherheitsarchitektur aufzubauen: Einsatz von Hardware-Wallets und Multi-Signature-Lösungen für Treasury-Adressen, konsequente Least-Privilege-Zugriffsmodelle, Härtung und Überwachung aller C-Level-Geräte sowie regelmäßige Anti-Phishing-Trainings.
Für Privatanlegerinnen und Privatanleger unterstreicht der Vorfall, dass das Halten von Krypto-Assets auf Drittplattformen und die Teilnahme an DeFi-Protokollen immer ein Infrastrukturrisiko beinhaltet. Wer diese Risiken reduzieren will, sollte seine Bestände auf verschiedene Plattformen und Wallets diversifizieren, verstärkt auf eigene Hardware-Wallets setzen und Sicherheitsmeldungen zu genutzten Protokollen aufmerksam verfolgen. Je besser Marktteilnehmer die tatsächlichen Angriffsvektoren verstehen und typische Fehlkonfigurationen vermeiden, desto schwerer wird es Angreifern, Szenarien wie den Step-Finance-Hack in Zukunft zu wiederholen.
