Der Solana‑basierte DeFi‑Service Step Finance ist am Wochenende Ziel eines schwerwiegenden Sicherheitsvorfalls geworden. Unbekannte Angreifer kompromittierten mehrere Treasury‑ und Fee‑Wallets des Projekts und zogen dabei rund 261.854 SOL ab – ein Betrag, der zum Zeitpunkt des Angriffs einem Wert von etwa 29 Millionen US‑Dollar entsprach.
In einer ersten Stellungnahme auf X erklärte das Team, es habe sich um einen Angriff über einen allgemein bekannten Angriffsvektor gehandelt. Konkrete technische Details nannte Step Finance jedoch zunächst nicht. Man habe jedoch umgehend Gegenmaßnahmen ergriffen, externe Sicherheitsexperten eingeschaltet und die zuständigen Behörden informiert. Weitere Informationen sollen folgen, sobald die laufenden forensischen Untersuchungen abgeschlossen sind.
On‑Chain‑Daten deuten auf direkten Wallet‑Zugriff hin
Blockchain‑Analysen des Sicherheitsunternehmens CertiK zeigen, dass die Angreifer die betroffenen SOL‑Bestände zunächst unstakten und anschließend an externe Wallet‑Adressen transferierten. Dieser Ablauf ist besonders brisant, da das Unstaking in der Regel eine Signatur und damit eine direkte Berechtigung voraussetzt. Mehrere Analysten werten dies als Hinweis darauf, dass entweder Private Keys kompromittiert wurden oder ein interner Zugriffsmechanismus versagt hat – und nicht etwa ein klassischer Smart‑Contract‑Exploit vorlag.
CertiK bestätigte öffentlich, dass die SOL „nach Übertragung der Stake‑Autorisierung“ abgezogen wurden. Das spreche gegen einen rein automatisierten Angriff und eher für einen gezielten Zugriff auf operative Treasury‑Wallets. Die endgültige Ursache ist jedoch bislang nicht offiziell bestätigt worden.
STEP‑Token bricht um mehr als 90 Prozent ein
Die Marktreaktion auf den Vorfall fiel heftig aus. Der Governance‑Token STEP verlor innerhalb von 24 Stunden über 90 Prozent seines Wertes. Zeitweise fiel der Kurs auf rund 0,0016 US‑Dollar, womit ein Großteil der Marktkapitalisierung ausgelöscht wurde. Anleger reagierten damit auf die Unsicherheit über den tatsächlichen Schaden und die langfristige Finanzierungsbasis des Projekts.
Diese Reaktion kommt nicht von ungefähr, denn die Treasury‑Bestände spielten eine zentrale Rolle im Geschäftsmodell von Step Finance. Ein Teil der Einnahmen wurde bislang für Token‑Rückkäufe und Anreizmechanismen genutzt. Durch den Verlust eines erheblichen Teils dieser Mittel steht dieses Modell nun infrage, was den Vertrauensverlust zusätzlich verstärkt und eine Erholung unwahrscheinlich macht.
Step Finance betonte mehrfach, dass Nutzer‑Assets nicht betroffen seien. Die Plattform fungiert primär als Analyse‑ und Portfolio‑Dashboard für das Solana‑Ökosystem und verwahrt nach eigenen Angaben keine direkten Kundeneinlagen. Der Angriff habe sich ausschließlich auf projekteigene Wallets beschränkt, darunter Treasury‑ und Fee‑Konten.
Dennoch sorgte der Vorfall für Unruhe im gesamten Solana‑Umfeld. Step Finance gilt als zentrale Infrastruktur‑Komponente und betreibt unter anderem das bekannte Solana‑Medienportal SolanaFloor sowie die Konferenz Solana Crossroads. Zudem hatte das Unternehmen Ende 2024 den Broker Moose Capital übernommen, der inzwischen unter dem Namen Remora Markets firmiert. Auch Remora bestätigte, dass einige tokenisierte Assets indirekt betroffen waren, versicherte jedoch, diese seien weiterhin 1:1 gedeckt.
