RetoSwap, eine führende, datenschutzorientierte dezentrale Peer-to-Peer-Börse für den Handel von Monero ($XMR) gegen Fiat und andere Kryptowährungen über Tor, hat den gesamten Handel vorübergehend eingestellt, nachdem im zugrunde liegenden Haveno-Protokoll eine neue Sicherheitslücke entdeckt wurde.
Heute um 18:02 UTC haben wir eine Meldung erhalten, dass das Haveno-Handelsprotokoll aktiv ausgenutzt wird. Das Team stoppte den Handel sofort, indem es mithilfe der Filterfunktion die Mindestversion des Clients auf 2.0.0 festlegte und die Onion-Adresse des Exploits verbot.
– RetoSwap (@RetoSwap) 16. Juni 2026
Das RetoSwap-Team erhielt den ersten Bericht am 16. Juni 2026 gegen 18:02 UTC (2:02 Uhr Pekinger Zeit). Sie reagierten schnell, indem sie die minimale Clientversion auf 2.0.0 erhöhten, die Onion-Adresse des Angreifers (fg2lhfh…2qpad.onion) auf die schwarze Liste setzten und den Handel stoppten. Der Handel bleibt ausgesetzt, bis ein vollständiger Sicherheitspatch entwickelt, getestet und veröffentlicht wurde. Dies ist der zweite große Vorfall im Zusammenhang mit dem Haveno-Protokoll innerhalb kurzer Zeit. Mitte Mai 2026 nutzten Angreifer einen Fehler in der Verarbeitung von ACK-Nachrichten und den Identitätswechsel eines Schiedsrichters bei der Erstellung einer Multisig-Wallet aus, was zum Diebstahl von etwa 2,7 Millionen US-Dollar (ca. 7.000 US-Dollar XMR) führte. Die Verluste beschränkten sich hauptsächlich auf große Krypto-zu-Krypto-Transaktionen, während Fiat-Händler weitgehend unberührt blieben.
Der May Haveno-Exploit ereignete sich in einem Monat, in dem es im gesamten Kryptosektor zu erhöhten Verlusten kam. Laut Branchenverfolgung verloren Kryptoprojekte allein im Mai 2026 durch 41 Sicherheitsvorfälle mehr als 84 Millionen US-Dollar, was die umfassenderen Herausforderungen verdeutlicht, denen sich die Protokollsicherheit und das Risikomanagement in dezentralen Ökosystemen gegenübersehen.
Der jüngste Exploit im Juni zielt auf den Streitbeilegungs- und Zwangsschlichtungsmechanismus ab. Laut Community-Updates und Haveno-Mitwirkenden nahm der Angreifer (der als Käufer agierte) Kaufangebote an, erzwang ein Schlichtungsverfahren und schaffte es, $XMR nach Bitcoin-Bestätigungen (ca. 30 Blöcke) freizugeben, ohne die entsprechenden BTC zu senden. Bemerkenswert ist, dass es sich bei diesem Vorfall offenbar in manchen Fällen um scheinbar legitime Schlichteradressen handelt, die sich vom May-Angriffsvektor unterscheiden.
Der Vorfall folgt auch auf eine Reihe jüngster Exploits auf Protokollebene, die sich auf dezentrale Finanzplattformen auswirken. Anfang dieses Monats erlitt Solv Protocol einen Verlust von 2,7 Millionen US-Dollar im Zusammenhang mit einer Smart-Contract-Schwachstelle in seinem Bro Vault, was unterstreicht, dass sowohl Schwachstellen auf Anwendungsebene als auch auf Protokollebene weiterhin erhebliche Risiken für Benutzer darstellen.
RetoSwap bestätigte, dass seine eigene Infrastruktur nicht verletzt wurde. Die Schwachstelle liegt vollständig im Haveno-Protokoll. Die Verluste bei diesem neuen Vorfall scheinen bisher begrenzt zu sein, da das Team schnell gehandelt hat, um den Vorfall einzudämmen. Der leitende Entwickler von Haveno, Woodser, erklärte:
Walder
Hinweise für Benutzer
Widerrufen Sie alle offenen Angebote sofort
Überprüfen und sichern Sie Ihre Bewerbungsdaten
Vermeiden Sie jeglichen weiteren Handel, bis der Patch bereitgestellt wird
Kontaktieren Sie den Support über die offizielle SimpleX-Gruppe („Chat mit Admin“), wenn Sie betroffene Trades haben
RetoSwap ist eine aktive Implementierung/Fork des Haveno-Protokolls und bietet einen vollständig nicht verwahrten, Tor-basierten P2P-Monero-Handel mit 2-von-3-Multisignatur-Treuhandkonto. Haveno selbst entstand als Fork von Bisq mit dem Ziel, starke Privatsphäre und Dezentralisierung zu gewährleisten. Die wiederholten Probleme bei der Nachrichtenvalidierung, der Adressverarbeitung und der Schlichtungslogik haben jedoch zu Herausforderungen bei der Sicherung dieser komplexen dezentralen Systeme geführt.
Die Teams von RetoSwap und Haveno arbeiten an einem verifizierten Sicherheitspatch. Der Handel wird voraussichtlich erst wieder aufgenommen, nachdem das Update gründlich getestet und veröffentlicht wurde. Das Team prüft außerdem Wiederherstellungsoptionen für alle betroffenen Benutzer und plant die Veröffentlichung eines detaillierten Post-Mortem-Berichts. Diese aufeinanderfolgenden Vorfälle verdeutlichen die realen Schwierigkeiten beim Aufbau sicherer Peer-to-Peer-Handelsprotokolle, insbesondere für hochwertige Datenschutzressourcen wie Monero. Während die Kernvision des privaten, nicht verwahrten Handels angesichts des globalen regulatorischen Drucks weiterhin wichtig bleibt, unterstreichen diese Ereignisse die Notwendigkeit einer strengen Prüfung und einer schnellen Reaktion der Community. Wir werden weiterhin die offiziellen Patch-Veröffentlichungen, Verlustschätzungen und etwaige Vergütungsdetails der Teams im Auge behalten.