Hemi bestätigt Ploutos-Exploit: $388K Auf fünf Chains verschwunden

Hemi bestätigt den Ploutos Money Exploit am 26. Februar 2026, bei dem 388.000 USD durch Oracle-Manipulation auf Hemi, Ethereum, Arbitrum, Hyperliquid und Avalanche abgezogen wurden.

Eine DeFi-Kreditplattform wurde gerade vollständig ausgeraubt. Ploutos Money verlor am 26. Februar 2026 etwa 388.000 USD bei einem koordinierten Oracle-Angriff, der gleichzeitig fünf verschiedene Blockchains traf.

Hemi veröffentlichte eine vollständige Incident-Analyse auf seinem offiziellen Blog unter hemi.xyz. Der Angriff erfolgte gegen 05:00 UTC. Zu diesem Zeitpunkt waren die Gelder bereits über Cross-Chain-Brücken off-chain transferiert worden.

Must Read: Trust Wallet Sicherheits-Hack: So schützen Sie Ihre Assets

Fünf Chains getroffen. Gelder in Minuten weg.

Der Angriff zielte nicht nur auf eine Chain. Die Deployments von Ploutos auf Hemi, Ethereum, Arbitrum, Hyperliquid und Avalanche wurden alle kompromittiert. Jede Chain. Jede Deployment.

Die Angreifer nutzten zwei Hauptmethoden. Sie tauschten legitime Oracles gegen bösartige Verträge aus. Außerdem prägten sie ungesicherte Kollateral-Token und nutzten diese, um ungültige Kredite zu ziehen. Die Kombination war schnell und hinterließ kaum Spuren.

Assets, die von Hemi exfiltriert wurden, wurden über die Stargate-Brücke ausgeführt. Gestohlene Gelder von Arbitrum, Hyperliquid und Avalanche wurden alle durch Li.Fi geroutet. Beide Brücken lieferten alles an das Ethereum Mainnet.

Wie @hemi_xyz auf X postete, hatten die On-Chain-Sicherheitsmonitore @CertiK und @BlockSecTeam die bösartigen Oracle-Updates in Echtzeit erkannt. Die Transaktionen waren sichtbar. Der Schaden war bereits angerichtet.

Auch interessant: Senator äußert Bedenken wegen angeblicher Binance-Transfers im Wert von 1,7 Mrd. USD

Ploutos wurde dunkel. Keine Erklärung gegeben.

Nach dem Exploit gingen die Website, GitHub und alle Social-Media-Kanäle von Ploutos offline. Keine Ankündigung. Keine Erklärung vom Team.

Kurz darauf tauchte eine Nachricht im offiziellen Ploutos Telegram-Kanal auf. Hemi hat diese nicht als verifizierte Team-Kommunikation bestätigt. Nutzer sollten keine Wiederherstellungsschritte aus dieser Nachricht befolgen, bis unabhängige Sicherheitsfirmen und Blockchain-Projektteams sie authentifiziert haben, warnte Hemi.

Dieses Schweigen erschwert die Lage für die betroffenen Nutzer derzeit erheblich.

Ploutos Money war einer von mehreren Kreditprotokollen, die auf Hemi liefen und zuvor durch Merkl-Kampagnen incentiviert wurden. Diese Beziehung endet hier. Die Schwachstelle lag vollständig in den Ploutos-Deployments.

Hemi erklärte deutlich, dass das Kernprotokoll und alle anderen integrierten Protokolle unversehrt bleiben. Eine interne Untersuchung ist im Gange.

Must Read: Kraken startet Flexline, Krypto-gestützte Kredite für professionelle Trader

Diese Berechtigungen jetzt widerrufen

Jeder, der jemals mit Ploutos interagiert hat, muss handeln. Das betrifft alle Interaktionen auf den fünf Chains.

Hemis Blog und der @hemi_xyz-Post auf X listen zwölf Vertragsadressen auf Hemi, bei denen sofort der Berechtigungswiderruf erfolgen muss. Tools wie Rabby Wallet oder webbasierte Widerrufsplattformen können das erledigen. Für Hemi funktioniert speziell pure.finance/token-revokes. Drittanbieter-Tools decken die anderen Chains ab.

Die vollständige Liste der Hemi-Vertragsadressen, bei denen Widerruf notwendig ist:

0xDdc98fF53945e334Ecca339b4DD8847b3769e8f0 0x5E660Deb9F5122bc185681b194a442590BcFcb64 0x87c6f09FA2DFd99717bDEeDf19496970Ca84264d 0x3FaA464dE86ca69863FF0ae029A7A0F0466B8fD9 0xB75a86dEedb9b4c95543D2dD0cc41CB641a28C24 0xA8F2DcaEE054809017FDF6EFbacdD5387a065Bc9 0x9DF7B63fD5295944038E061cb2e4637618227f85 0x682f12e6DD63495E31c24572F9997B3Bc7A99442 0x01d65Ded4C3c4F76Acd5EAE730320eBb4aF0E156 0xa9b9cCE44fe4150e87965bb31FB2b55D009812B1 0x9D7a3590cA6621893bC6B908B8Bce925d9407bB9 0xD6203b39b1e57301fd10CB946436Dda71D933F4D

Die laufende Untersuchung ist noch im Gange. Hemi kündigt an, die betroffenen Nutzer über die nächsten Schritte zu informieren, sobald die Ergebnisse vorliegen.

Auch interessant: Bitcoin soll 2026 auf 44.000 bis 35.000 USD fallen, warnt Analyst

Solche Cross-Chain-Oracle-Angriffe sind nicht neu. Auffällig ist hier die Geschwindigkeit und der Umfang. Fünf Chains. Ein Fenster. 388.000 USD abgezogen, bevor die Monitore reagieren konnten.