P2P-Börse Retoswap gehackt: Ist Dezentralität nur ein Werbegag?

P2P-Börse Retoswap gehackt: Ist Dezentralität nur ein Werbegag?

Die P2P-Börse Retoswap ist gestern zum Ziel eines Angriffs geworden. Ersten Berichten zufolge, soll es den Strippenziehern dabei gelungen sein, 7.000 XMR im Wert von rund 2,7 Millionen US-Dollar zu entwenden.

Bei Retoswap handelt es sich um eine Handelsplattform für Kryptowährungen, die laut eigenen Angaben nicht von einer zentralen Instanz gesteuert wird. Stattdessen soll die Plattform dezentral funktionieren. Der Handel findet ausschließlich zwischen verschiedenen Endnutzern statt – also P2P. Diese Darstellung gerät nach der jüngsten Attacke in Zweifel.

“Heute um 2:31 Uhr UTC meldete Woodser, der leitende Entwickler von Haveno, dass das Haveno-Handelsprotokoll aktiv missbraucht wird. Um 2:33 Uhr UTC sperrte RetoSwap die Onion-Adresse der Angreifer und stellte den Handel ein, indem die Mindestversion für Clients mithilfe der Filterfunktion auf 2.0.0 festgelegt wurde”, gab Retoswap gestern über X bekannt.

The RetoSwap team has not been compromised.
This was a flaw in the Haveno protocol.
Damage appears to be contained to large scale crypto offers with fiat traders unaffected. We are assessing options to help affected traders recover.

The protocol is currently getting analyzed for…

— RetoSwap (@RetoSwap) May 20, 2026

In anderen Worten: Die Entwickler schalteten Retoswap in Folge des Angriffs vorläufig ab, um weitere Schäden zu verhindern. Die Dezentralität der Börse gerät deshalb in Zweifel. Schuld an der Misere sei ein technischer Fehler im zugrundeliegenden Protokoll Haveno.

Laut Fehlerbericht war es den unbekannten Angreifern gelungen, die Multisig-Funktion der Börse zu manipulieren. So war es möglich, sämtliche Gelder zu entwenden, die sich eigentlich in der Obhut eines Mediators befinden sollten.

Dezentrale P2P-Börsen funktionieren üblicherweise nach einem Mehrheitsprinzip. Die gehandelte Kryptowährung wird in eine Multisig-Wallet eingezahlt. Um mögliche Streitfälle auflösen zu können, kommt ein Vermittler zum Einsatz. Jener bezieht dann entweder die Position des Käufers oder die des Verkäufers. Mit zwei von drei Signaturen lässt sich das Geld dann für eine Seite freigeben.

Die Angreifer konnten sich durch Spoofing jedoch als Mediator ausgeben und erlangten so Zugriff auf die hinterlegten Gelder. Dezentralisierung soll derartige Angriffsvektoren eigentlich ausschließen.

Retoswap verspricht Wiedergutmachung: Das müssen Geschädigte beachten

Retoswap versprach auf X bereits eine Wiedergutmachung für geschädigte Nutzer. In einer Anleitung stellte man dar, dass die Sicherung bestimmter Dateien notwendig sei, um in Zukunft von einem Wiederherstellungsplan zu profitieren.

“Wir prüfen derzeit Möglichkeiten, um den betroffenen Tradern bei der Wiederherstellung zu helfen. (…) Der Handel wird wieder aufgenommen, sobald das Protokoll als sicher eingestuft und ein Patch veröffentlicht wurde”, erklärten die Entwickler gestern.

In der Krypto-Szene wird Retoswap inzwischen für seine Funktionsweise kritisiert. Laut einiger Kritiker sei das Konzept nicht valide und müsse stattdessen durch vollständig dezentrale Atomic Swaps ersetzt werden.

“Die Notwendigkeit einer „vertrauenswürdigen dritten Partei“ bei Streitfällen bedeutet lediglich, dass man ein veraltetes Finanzsystem mit einer Darknet-Benutzeroberfläche aufgebaut hat”, schrieb ein Kritiker.

“Reines, zustandsloses Routing ist möglicherweise der einzige Weg, um diese dunkle Ära zu überstehen. Der Aufbau sicherer, dezentraler On-Ramps ist extrem schwierig. Das ist ein massiver Rückschlag für das Ökosystem”, setzte er fort.

Ein weiterer Nutzer empfiehlt mit Eigenwallet und Basicswap Dex zwei alternative Angebote. Diese seien widerstandsfähiger, da sie tatsächlich dezentral funktionieren würden. Die von ihnen bereitgestellten Atomic Swaps erlauben anders als Retoswap jedoch keinen Tausch zwischen Fiat- und Kryptowährungen.