Die Trading-Plattform für tokenisierte Aktien, Edel Finance, setzte am Dienstag ihr Kreditprotokoll aus, nachdem ein Angreifer die Preisgestaltung einer tokenisierten Aktie ausnutzte, gegen überhöhtes Sicherheitenkapital in Höhe von etwa dem 78-fachen des tatsächlichen Werts Kredite aufnahm und einen Ausfall von rund 403.000 US-Dollar verursachte, teilte das Team mit.
An Update from the Edel Team
— Edel Finance (@edeldotfinance) July 1, 2026
Earlier today, Edel identified and contained an exploit affecting Edel Lending.
The exploit involved manipulation of the wrapped xStocks exchange rate between wGOOGLx and GOOGLx, causing wGOOGLx collateral to be valued at approximately 78x its…
Das Ziel war eine tokenisierte Version der Google-Aktie von Alphabet. Edel Lending akzeptierte wGOOGLx, eine Wrapped-Variante der tokenisierten Aktie GOOGLx, als Sicherheit.
Ein Wrapped Token ist eine Version eines Vermögenswerts, die umgepackt wurde, um innerhalb eines bestimmten Protokolls zu funktionieren, und soll den zugrunde liegenden Vermögenswert eins zu eins abbilden. Der Angreifer manipulierte den Wechselkurs zwischen den beiden so, dass wGOOGLx mit etwa dem 78-Fachen seines tatsächlichen Wertes bewertet wurde, und nutzte dann dieses fiktive Kollateral, um echte Vermögenswerte vom Protokoll zu leihen.

Die Preisfestsetzung selbst war nicht der Schwachpunkt. Edel erklärte, dass Chainlink-Orakel verwendet wurden, die standardmäßigen Drittanbieterdienste, die reale Preise auf eine Blockchain übertragen, und diese meldeten den korrekten Google-Aktienkurs von rund 357 US-Dollar.
Der Fehler lag im Wrapping-Mechanismus. Der Angreifer beeinflusste, wie GOOGLx in wGOOGLx umgewandelt wurde und umgekehrt, sodass die Besicherung falsch bewertet wurde, obwohl der zugrunde liegende Preisdatenfeed korrekt war.
Edel gab bekannt, dass der Exploit erkannt und eingedämmt wurde. Anschließend wurden alle Version-eins-Verträge pausiert, die weiterhin eingefroren bleiben, und die Nutzer wurden davor gewarnt, mit diesen zu interagieren.
Das Team fügte hinzu, dass es die Transaktionen des Angreifers zurückverfolgt und mit den Börsen koordiniert habe, und dass es dem Angreifer eine Whitehat-Vereinbarung angeboten habe, ein Abkommen, das einem Hacker erlaubt, den Großteil der Gelder innerhalb eines festgelegten Zeitraums gegen eine Gebühr zurückzugeben, ohne rechtliche Verfolgung.
Kein Einleger wird einen Verlust erleiden, stellte Edel fest, da das Team die uneinbringlichen Forderungen übernimmt und die Guthaben eins zu eins wiederherstellt. Es wird eine Version zwei mit einem neu gestalteten Preissystem eingeführt, das darauf ausgelegt ist, diese Art von Manipulation zu verhindern, und versprach eine vollständige technische Analyse nachzureichen.
Obwohl der Betrag gering ist, gehört die Methode zu den beständigsten Exploit-Kategorien im DeFi-Bereich.
Die Manipulation des Preises, den ein Protokoll liest, anstatt in es einzubrechen, zählt zu den zweithäufigsten Schwachstellen von Smart Contracts im OWASP Smart Contract Top 10 Schwachstellen für 2025, und Sicherheitsforscher bei CertiK beschreiben die Manipulation von Oracle-Preisen als eine der häufigste Angriffsvektoren.
Neben den Cross-Chain-Bridges, die die größten einzelnen Diebstähle des Jahres verursachten, darunter die im April aus Kelp DAO abgezogenen 292 Millionen Dollar, ist die Preismanipulation der Bereich, in dem ein Großteil des Geldes weiterhin fließt, und bei den meisten dieser Fälle funktioniert der Code wie vorgesehen.