Neutrl DNS-Hijack: DeFi Front-End Sicherheitswarnung

Am 19. März 2026 bestätigte das Decentralized-Finance-Protokoll Neutrl einen mutmaßlichen Front-End-Angriff, der auf einem DNS-Level-Angriff basiert – ein Angriffsvektor, den zunehmend ausgefeilte Bedrohungsakteure gegen DeFi-Infrastruktur einsetzen. Das Protokoll hat Smart-Contract-Interaktionen als Vorsichtsmaßnahme gestoppt und eine dringende Warnung herausgegeben: Alle Nutzer sollen ihre Wallet-Berechtigungen sofort prüfen und widerrufen.

Was ist bei Neutrls Front-End passiert?

Laut Neutrls Entwicklerteam deuten erste forensische Erkenntnisse auf einen Social-Engineering-Angriff hin, der gegen den DNS-Provider des Protokolls gerichtet war – nicht gegen eine Schwachstelle in den zugrundeliegenden Smart Contracts. Durch die Manipulation des Domain-Routings leitete der Angreifer den Live-Traffic auf eine geklonte, bösartige Oberfläche um, die optisch nicht vom legitimen Protokoll zu unterscheiden war. Nutzer, die mit diesem gefälschten Front-End interagierten, wurden schädlichen Wallet-Freigabeanfragen ausgesetzt – konkret auf Permit2-Berechtigungen abzielend.

Permit2 ist ein weit verbreiteter Token-Approval-Standard, der es Drittanbieter-Contracts oder Adressen ermöglicht, Token im Namen eines Nutzers zu übertragen, ohne wiederholte On-Chain-Genehmigungen zu benötigen. Sobald ein böswilliger Akteur eine Permit2-Signatur erlangt, kann er autorisierte Assets ohne weitere Nutzerbestätigung abziehen – was diesen Angriffsvektor besonders gefährlich und in Echtzeit schwer zu erkennen macht.

Neutrl bestätigte, dass es bei der Untersuchung mit der externen Sicherheitsfirma 0xGroomLake zusammenarbeitet. Zwei spezifische Contract-Adressen wurden zur sofortigen Überprüfung und zum Widerruf markiert:

• 0x23f2741EaA0045038e9b52100CdcC890163dE53F
• 0xa0Adf074056E41dfB892aFC69881E15073b384b9

Nutzer werden auf Revoke.cash verwiesen, um sämtliche Berechtigungen für diese Adressen oder nicht erkannte Contracts zu widerrufen.

Wie wirkt sich das auf Altcoin-Perpetual-Märkte aus?

DNS-Hijacking-Vorfälle dieser Art haben historisch gesehen scharfe, kurzfristige Volatilität bei betroffenen Protokoll-Token und in den breiteren DeFi-nahen Altcoin-Perp-Märkten ausgelöst. Trader, die in Mid-Cap-DeFi-Perpetuals positioniert sind, sollten mehrere Dynamiken genau im Blick behalten.

Erstens tendieren Sicherheitsvorfälle dieses Profils dazu, das Open Interest beim Token des betroffenen Protokolls zu drücken, da Inhaber Positionen abbauen oder absichern. Falls Neutrls nativer Token an einer zentralisierten oder dezentralisierten Derivate-Plattform gehandelt wird, sind erhöhte Funding Rates auf der Short-Seite und potenzielle Long-Liquidation-Kaskaden zu erwarten, wenn sich das Sentiment schnell verschlechtert.

Zweitens ist das Ansteckungsrisiko für breitere DeFi-Sektor-Token nicht zu vernachlässigen. DNS-Hijacking-Angriffe, die Social Engineering auf Infrastrukturebene ausnutzen – statt Smart-Contract-Bugs – signalisieren ein systemisches Front-End-Risiko im gesamten DeFi-Ökosystem. Das kann das Sentiment für ETH-denominierte DeFi-Token breiter belasten, insbesondere bei solchen mit hoher Retail-Beteiligung und schwächeren Sicherheits-Disclosure-Praktiken.

Drittens ist es für BTC- und ETH-Perp-Trader unwahrscheinlich, dass dieser Vorfall das Open Interest oder die Funding Rates auf Makroebene isoliert betrachtet wesentlich bewegt. Falls der Vorfall jedoch Teil einer koordinierten Kampagne gegen mehrere DeFi-Protokolle ist – ein Muster, das bei früheren Angriffswellen zu beobachten war – könnte Risk-Off-Positionierung in Altcoin-Perp-Büchern beschleunigt werden, Long-Funding Rates komprimieren und Basis-Spreads ausweiten.

Zentrales Risiko: Permit2-Exposure in DeFi-Wallets

Die Permit2-Angriffsfläche ist nicht auf Neutrl beschränkt. Jede Wallet, die mit Uniswaps Universal Router oder anderen Permit2-integrierten Protokollen interagiert hat, trägt ein Restgenehmigungsrisiko, wenn diese Berechtigungen nicht aktiv verwaltet wurden. Trader, die aktive DeFi-Strategien parallel zu ihren Perp-Büchern betreiben, sollten diesen Vorfall als Anlass nehmen, ein vollständiges Wallet-Permission-Audit durchzuführen – unabhängig davon, ob sie Neutrl konkret genutzt haben.

Das Protokoll hat betont, dass seine Smart Contracts sicher sind und als Vorsichtsmaßnahme pausiert wurden. Ein vollständiges Post-Mortem wird erwartet, sobald die Untersuchung abgeschlossen ist.

Trading-Implikationen

• Jedes Neutrl-native Token-Perp-Exposure sollte als erhöhtes Risiko behandelt werden, bis ein vollständiges Post-Mortem veröffentlicht und die Smart-Contract-Aktivität wieder aufgenommen wird – füge bei einem ungelösten Sicherheitsvorfall keine Long-Exposure hinzu.
• Beobachte die Funding Rates von DeFi-Sektor-Altcoin-Perps auf eine Short-seitige Schieflage in den nächsten 24–48 Stunden, da der Vorfall breitere Aufmerksamkeit erhält; erhöhte negative Funding kann für disziplinierte Trader Mean-Reversion-Chancen schaffen.
• Widerrufe Permit2-Berechtigungen auf jeder Wallet, die für aktive DeFi-Interaktionen genutzt wird – nutze Revoke.cash, um Genehmigungen für 0x23f2741EaA0045038e9b52100CdcC890163dE53F und 0xa0Adf074056E41dfB892aFC69881E15073b384b9 sofort zu prüfen.
• DNS-Hijacking über Social Engineering stellt einen Front-End-Risikovektor dar, den Smart-Contract-Audits nicht abmildern – beziehe Infrastruktur-Sicherheits-Disclosures in dein Due-Diligence-Framework für DeFi-Protokoll-Token-Positionen ein.
• BTC- und ETH-Makro-Perp-Märkte werden durch diesen isolierten Vorfall wahrscheinlich keine wesentlichen Auswirkungen erfahren – behalte aber breitere DeFi-Ansteckungssignale im Blick, falls in derselben Welle weitere Protokoll-Kompromittierungen gemeldet werden.
• Das Open Interest in DeFi-nahen Altcoin-Perps könnte kurzfristig schrumpfen, da Retail-Teilnehmer ihr Exposure reduzieren – das könnte vorübergehend die Liquidität verringern und den Slippage bei kleineren DeFi-Token-Perp-Paaren ausweiten.