Das Protokoll: Fehler, der alle Ihre Token abziehen kann und „tausende“ von Websites betrifft

Willkommen bei The Protocol, CoinDesks wöchentliche Zusammenfassung der wichtigsten Geschichten in der Kryptowährungstechnologieentwicklung. Ich bin Margaux Nijkerk, Reporterin bei CoinDesk.

In dieser Ausgabe:

• Neuer React-Fehler, der alle Ihre Tokens entleeren kann, betrifft „Tausende“ von Websites
• Ripple erweitert den $1,3 Mrd. RLUSD Stablecoin auf Ethereum L2s über Wormhole im Multichain-Ausbau
• Aave DAO wehrt sich gegen die Verschiebung der Interface-Gebühren weg vom Treasury
• NFT-Projekt Pudgy Penguins übernimmt die Las Vegas Sphere in einer Holiday-Kampagne

Netzwerk Nachrichten

FEHLER, DER BRIEFTASCHE LEEREN KÖNNTE, BETRIFFT TAUSENDE VON WEBSITES: Ein kritische Sicherheitslücke in React Server Components wird derzeit aktiv von mehreren Bedrohungsgruppen ausgenutzt, wodurch Tausende von Websites – einschließlich Krypto-Plattformen – einem unmittelbaren Risiko ausgesetzt sind, bei dem Benutzer im Falle einer Beeinträchtigung möglicherweise den gesamten Verlust ihrer Vermögenswerte erleiden. Die Schwachstelle, die unter CVE-2025-55182 geführt wird und den Spitznamen trägt,React2Shell, ermöglicht Angreifern die Ausführung von Code aus der Ferne auf betroffenen Servern ohne Authentifizierung. Die Verantwortlichen von React haben das Problem am 3. Dezember offengelegt und ihm die höchstmögliche Schwerebewertung zugewiesen. Kurz nach der Offenlegung beobachtete GTIG eine weit verbreitete Ausnutzung durch sowohl finanziell motivierte Kriminelle als auch mutmaßlich staatlich geförderte Hackergruppen, die auf ungepatchte React- und Next.js-Anwendungen in Cloud-Umgebungen abzielten. React Server Components werden verwendet, um Teile einer Webanwendung direkt auf einem Server anstelle im Browser eines Nutzers auszuführen. Die Schwachstelle resultiert daraus, wie React eingehende Anfragen an diese serverseitigen Funktionen decodiert. Vereinfacht gesagt können Angreifer eine speziell gestaltete Web-Anfrage senden, die den Server dazu verleitet, beliebige Befehle auszuführen, oder dem Angreifer effektiv die Kontrolle über das System zu übergeben. Der Fehler betrifft React-Versionen 19.0 bis einschließlich 19.2.0, einschließlich Pakete, die von beliebten Frameworks wie Next.js genutzt werden. Allein die Installation der verwundbaren Pakete reicht oft schon aus, um eine Ausnutzung zu ermöglichen.— Shaurya Malwa Weiterlesen.

RIPPLE KOMMT ZU ETH L2S: Ripple, das auf Zahlungsverkehr fokussierte Blockchain-Unternehmen, das eng mit dem XRP Ledger (XRP) verbunden ist, bringt seinen an den US-Dollar gebundenen Stablecoin auf Ethereum Layer-2 (L2) Blockchains wie Optimism, Coinbase’s Base, Kraken’s Ink und Uniswap’s Unichain, um den Token im Wert von 1,3 Milliarden US-Dollar tiefer in das Multichain-Ökosystem zu integrieren. Das Unternehmen teilte mit, dass es mit einer Testphase beginnt, bevor eine breitere Einführung im nächsten Jahr erwartet wird, vorbehaltlich der behördlichen Genehmigung durch das New York Department of Financial Services (NYDFS). Das Pilotprojekt integriert den Native Token Transfers (NTT)-Standard von Wormhole, der es RLUSD ermöglicht, nativ über verschiedene Chains zu übertragen, ohne dass ein Wrapping oder synthetische Vermögenswerte erforderlich sind. Dies trägt dazu bei, die Liquidität und die regulatorische Kontrolle aufrechtzuerhalten, während es eine Reihe von dezentralisierten Finanzanwendungen (DeFi) über Netzwerke unterstützt, die für Geschwindigkeit und geringere Kosten optimiert sind. Stablecoins wachsen schnell zu einem zentralen Element der digitalen Finanzinfrastruktur heran, die traditionelle Finanzen mit der Kryptoökonomie verbindet. Sie stellen eine 300 Milliarden US-Dollar schwere Klasse von Kryptowährungen dar, deren Preise an fiat-basierte Währungen wie den US-Dollar gekoppelt sind. — Krisztian Sandor Mehr lesen.

DEBATTE ÜBER AAVE-PROTOKOLL-INTERFACE INTENSIVIERT SICH: Eine Debatte innerhalb der Aave-DAO wirft Fragen darüber auf, wer die Kontrolle über die Schnittstelle des Protokolls innehat und wer finanziell davon profitiert. Das Thema kam auf, nachdem Aave Labs Anfang dieses Monats den dezentralen Exchange-Aggregator CoWSwap in die Oberfläche von app.aave.com integriert und damit die zuvor genutzte Paraswap-Routing-Methode für Kollateral-Swaps ersetzt hatte. Während die Änderung als Verbesserung der Benutzererfahrung mit optimierter Ausführung und MEV-Schutz dargestellt wurde, meldeten Delegierte später, dass swap-bezogene Gebühren nicht mehr in die Schatzkammer der Aave-DAO flossen. Ein offener Brief von Orbit-Delegiertem EzR3aL argumentierte, dass die Integration Front-End-Gebühren von ungefähr 15 bis 25 Basispunkten einführte, die einem externen Empfänger anstelle der DAO zugutekommen. In dem Beitrag zitierte On-Chain-Daten zeigten wöchentliche Ausschüttungen von Ether, die mit dem Partnergebührenmechanismus von CoWSwap über mehrere Netzwerke verbunden sind und potenziell jährlich Millionen von Dollar ausmachen. Dieser Überschuss ist seitdem zurückgegangen, da die Weiterleitung auf das Batch-Auktionsmodell von CoWSwap umgestellt wurde, das Ausführungssicherheit gegenüber Preisverbesserungen priorisiert. Im Zentrum der Debatte steht jedoch eine Unterscheidung, die Aave Labs zufolge schon immer bestand: das Protokoll versus das Produkt. In einem Forum-Antwort, Aave Labs erklärte, dass die Benutzeroberfläche unabhängig vom durch die DAO gesteuerten Protokoll betrieben, finanziert und gewartet wird. Nach diesem Modell kontrolliert die DAO die On-Chain-Parameter, Zinssätze und Protokollgebühren, während Labs das Ermessen über optionale, anwendungsbezogene Funktionen wie Swap-Routing und Monetarisierung der Benutzeroberfläche behält. „Jegliche Monetarisierung bezieht sich ausschließlich auf ergänzende Funktionen“, schrieb Aave Labs und argumentierte, dass diese Trennung die Protokollneutralität wahrt und eine Zentralisierung der wirtschaftlichen Kontrolle auf der Basisebene verhindert. Kritiker hingegen behaupten, die praktische Realität sei eine andere gewesen. Marc Zeller von der Aave Chan Initiative (ACI) erklärte, dass es seit langem die Erwartung gebe, dass eine Monetarisierung, die an das Frontend aave.com gebunden ist – einschließlich Swap-Überschüssen und flash-loan-unterstützter Ausführung – der DAO zugutekommen würde, insbesondere da Marke, Governance-Legitimität und ein Großteil der zugrunde liegenden Entwicklung von Tokeninhabern finanziert wurden. — Shaurya Malwa Mehr lesen.

PUDGY PENGUINS ÜBERNEHMEN VEGAS: Einst ein bahnbrechendes Non-Fungible-Token-(NFT)-Projekt während des Krypto-Booms 2021, setzt Pudgy Penguins nun auf reale Sichtbarkeit mit einer hochkarätigen Werbeplatzierung im Las Vegas Sphere während der Weihnachtswoche. Nur wenige Krypto-bezogene Marken haben Werbeflächen im Sphere gesichert – einem riesigen, mit LED bedeckten Veranstaltungsort, der für seine immersiven Displays und Auftritte von Künstlern wie U2 und den Eagles bekannt ist. A bitcoin-fokussierte Aktivierung lief im Juli, aber andere Beispiele sind selten gewesen. Die Anzeige von Pudgy Penguins wird ab dem 24. Dezember mehrere Tage lang laufen und laut einer mit dem Deal vertrauten Person mehrere animierte Segmente enthalten. Die Marke hat etwa 500.000 US-Dollar für die Platzierung ausgegeben – ein üblicher Betrag für eine Schaltung im Sphere. „Es zeigt gewissermaßen, dass ein Krypto-Projekt über die Branche hinausgehen und die Herzen und Köpfe der alltäglichen Verbraucher erreichen kann“, sagte Vedant Mangaldas, Leiter Strategie und Marke bei Pudgy Penguins, gegenüber CoinDesk. Er erklärte, dass der Deal möglich wurde, weil hinter dem Projekt ein „echtes Geschäft“ steht. – Helene Braun Weiterlesen.

In anderen Nachrichten

• Securitize wird Anfang 2026 die erste vollständig konforme Onchain-Handelsplattform für echte börsennotierte Aktien anbieten, wodurch die Grenzen zwischen traditionellen Märkten und Web3-Infrastruktur verwischen. Das System des Unternehmens ermöglicht es Investoren, tokenisierte Anteile an börsennotierten Unternehmen direkt zu besitzen, die onchain ausgegeben und erfasst werden und über eine blockchain-basierte Schnittstelle handelbar sind, laut einer Ankündigung. Im Gegensatz zu synthetischen Token-Modellen, die Aktienkurse über Offshore-Einheiten oder Derivate abbilden, bietet der Ansatz von Securitize vollständiges legales Eigentum. Jede Aktie wird direkt vom Unternehmen selbst ausgegeben und in dessen offizieller Kapitalisierungstabelle vermerkt, so das Unternehmen. „Dies ist kein synthetischer Preis-Tracker oder eine Forderung gegenüber einem Depotverwalter“, schrieb Securitize in seiner Ankündigung. „Es handelt sich um echte, regulierte Aktien: auf der Blockchain ausgegeben, direkt in der Kapitalisierungstabelle des Emittenten erfasst und über eine vertraute Web3-Swap-Erfahrung handelbar.“ Das bedeutet, dass Token-Inhaber echte Aktionärsrechte erhalten, einschließlich Dividenden und Stimmrechten, und ihre Vermögenswerte werden in Selbstverwahrung gehalten, ohne dass Mittelsmänner die Aktien hinter den Kulissen erneut verpfänden. Die Vermögenswerte sind jedoch berechtigt und können nur zwischen konformen, auf der Whitelist stehenden Wallets übertragen werden. — Francesco Rodrigues Mehr erfahren.
• Der Kreditkartengigant Visa (V) führt in den Vereinigten Staaten eine USDC-Abwicklung ein, die es Emittenten- und Akquisitionspartnern ermöglicht, Verpflichtungen gegenüber dem Kartennetzwerk in Circles an den US-Dollar gebundener Stablecoin abzuwickeln. Dieser Schritt markiert die US-Phase eines Stablecoin-Abwicklungsprogramms, das laut einer Pressemitteilung von Visa zum 30. November eine annualisierte Laufleistung von 3,5 Milliarden US-Dollar erreicht hat. Die neue Option soll Banken und Fintechs nahezu sofortige Geldbewegungen, eine Abwicklung an sieben Tagen in der Woche und eine vorhersehbarere Liquidität an Wochenenden und Feiertagen ermöglichen, während das Verbrauchererlebnis mit der Karte unverändert bleibt. — Will Canny Mehr lesen.

Regulatorik und Politik

• Die US-Senatorin Elizabeth Warren hat forderte eine weitere US-Untersuchung zur nationalen Sicherheit in eine Ecke des Kryptosektors, wobei sie Bedenken gegenüber PancakeSwap äußerte, einer dezentralen Börse, die sie als Versuche darstellte, Münzen zu verstärken, die von World Liberty Financial Inc. ausgegeben wurden, einem Unternehmen mit Verbindungen zu Präsident Donald Trump. Sie sagte die Börse, das auf mehreren Blockchains operiert und ein bedeutendes Protokoll auf Binance's Chain ist, sollte auf Verbindungen zu „jeglichem unangemessenen politischen Einfluss der Trump-Administration auf Vollzugsentscheidungen“ überprüft werden, erklärte Warren in einem Schreiben am Montag an Finanzminister Scott Bessent und Generalstaatsanwältin Pam Bondi und bat sie, dies zu untersuchen, wobei sie eine ähnliche Anfrage, an der sie letzten Monat beteiligt war bezüglich WLFI. „Während der Kongress über die Gesetzgebung zur Struktur des Kryptomarktes nachdenkt – einschließlich Regeln zur Verhinderung, dass Terroristen, Kriminelle und Schurkenstaaten dezentralisierte Finanzen (DeFi) zur Finanzierung ihrer Aktivitäten ausnutzen – ist es entscheidend zu verstehen, ob diese Risiken ernsthaft untersucht werden“, schrieb Warren, die ranghöchste Demokratin im Finanzausschuss des Senats, der die Gesetzgebung überarbeiten und genehmigen muss, bevor der gesamte Senat darüber abstimmen kann. — Jesse Hamilton Mehr erfahren.
• Die US-amerikanische Federal Deposit Insurance Corporation hat die erstes offizielles Regelvorschlags aus dem neuen Gesetz zur Regulierung von Stablecoin-Emittenten, wobei der Vorstand dafür gestimmt hat, eine 60-tägige öffentliche Kommentierungsphase für sein System zur Bearbeitung von Anträgen seiner regulierten Banken zu eröffnen, die Stablecoins von Tochtergesellschaften ausgeben möchten. Die Behörde – geleitet von dem amtierenden Vorsitzenden Travis Hill, der auch Präsident Donald Trumps Kandidat für den festen Sitz ist – wird die Kommentare sammeln und prüfen, bevor sie eine endgültige Regelung veröffentlichen kann. Der Dienstag Vorschlag, genehmigt von allen drei Mitgliedern des verkleinerten Vorstands, würde die Verfahren für die Annahme von Anträgen festlegen, diese in einem 120-tägigen Genehmigungszeitraum überprüfen und ein Berufungsverfahren für abgelehnte Anträge anbieten. „Nach dem Vorschlag würde die FDIC einen maßgeschneiderten Antragsprozess einführen, der es der FDIC ermöglicht, die Sicherheit und Solidität der vorgeschlagenen Aktivitäten eines Antragstellers anhand der gesetzlichen Faktoren zu bewerten und gleichzeitig die regulatorischen Belastungen für die Antragsteller zu minimieren“, sagte Hill, dessen Nominierung möglicherweise bereits in dieser Woche vom Senat bestätigt wird. Der Guiding and Establishing National Innovation for U.S. Stablecoins (GENIUS) Act war das erste bedeutende Krypto-Gesetz, das vom Kongress verabschiedet wurde, und legte ein komplexes Geflecht von Aufsichtsbehörden für Unternehmen fest, die Stablecoins ausgeben möchten – Dollar-gebundene Tokens, die für Transaktionen im digitalen Vermögenssektor von entscheidender Bedeutung sind. Für versicherte Einlageninstitute ist die FDIC die zuständige Aufsichtsbehörde. — Jesse Hamilton Weiterlesen.

Kalender

• 10.-12. Feb. 2026: Konsens, Hongkong
• 17.-21. Februar 2026: EthDenver, Denver
• 30. März–2. April 2026: EthCC, Cannes
• 15.-16. Apr. 2026: Paris Blockchain Woche, Paris
• 5. bis 7. Mai 2026: Konsens, Miami