Was bedeutet der Rhea Finance Hack für Geschädigte im NEAR-Protocol-Ökosystem?
Der Rhea Finance Hack vom April 2026 verursachte einen Gesamtschaden von 18,4 Millionen US-Dollar auf einer Lending-Plattform des NEAR-Protocol-Ökosystems. Tether sicherte rund 9 Millionen US-Dollar, indem das Unternehmen 3,29 Millionen USDT in einem Angreifer-Wallet einfror. Europäische Geschädigte verfügen über konkrete zivilrechtliche Anspruchsgrundlagen, die eine Rückführung von Geldern ermöglichen können.
Zwischen dem 13. und 15. April 2026 bereitete ein bislang unbekannter Angreifer einen technisch außerordentlich aufwendigen Exploit vor. Er traf das dezentrale Finanzprotokoll Rhea Finance auf dem NEAR-Protocol. Was zunächst als Schaden von 7,6 Millionen US-Dollar kommuniziert wurde, lag in Wirklichkeit bei 18,4 Millionen US-Dollar. Das ergab die eingehende Analyse des Post-Mortems. Diese Korrektur wurde nach der Veröffentlichung des offiziellen Post-Mortems bekannt. Dieser Artikel erläutert Ihnen den technischen Hergang und die Struktur des Angriffs. Außerdem stellt er die zivilrechtlichen und regulatorischen Handlungsoptionen vor, die deutschen und europäischen Betroffenen zur Verfügung stehen.
Rhea Finance ist ein Lending-Protokoll, das Nutzern erlaubt, Kryptowährungen als Sicherheit zu hinterlegen und Margin-Positionen einzugehen. Solche DeFi-Plattformen agieren ohne zentrale Autorität — ihre Funktionsweise steuern vollständig Smart Contracts. Genau dieser Umstand macht sie einerseits attraktiv und andererseits anfällig für spezifische Angriffsformen, die klassische Finanzinstitute nicht kennen. Wenn Sie auf Rhea Finance Gelder eingesetzt haben und nun Verluste beklagen, steht die vollständige Sicherung Ihrer Transaktionsdaten an erster Stelle. Wallet-Adressen, Transaktions-Hashes und Zeitstempel sind ebenso unerlässlich wie alle Kommunikationsverläufe mit der Plattform.
Wie plante der Angreifer den Exploit im Detail vor?
Die Vorbereitungsphase des Angriffs erstreckte sich über mindestens zwei Tage. Der Angreifer richtete 423 Intermediär-Wallets ein und deployte acht gefälschte Token-Pools auf Ref Finance. Außerdem erstellte er manipulierte Token-Verträge und betrieb einen eigenen Swap-Router. Diese logistische Dimension zeigt, dass es sich nicht um ein opportunistisches Vorgehen handelte, sondern um eine geplante, systematische Ausnutzung eines Protokollfehlers. Ein solcher Planungsaufwand ist rechtlich bedeutsam. Er begründet den Betrugsvorsatz nach § 263 StGB und den Tatbestand des Computerbetrugs nach § 263a StGB mit größter Eindeutigkeit.
Der eigentliche Exploit nutzte einen Bug im Slippage-Schutz der Margin-Trading-Funktion des Protokolls. Bei sequenziellen Swaps innerhalb einer einzigen Transaktion zählte das System den Wert desselben Tokens doppelt. Dieser Fehler erlaubte es dem Angreifer, weit mehr Mittel aus dem Liquiditätspool abzuziehen, als ihm rechtmäßig zustanden. Für Sie als Geschädigte ist wichtig zu verstehen, dass dieser Fehler im Protokollcode selbst lag. Die Plattform-Betreiber haften daher zivilrechtlich, da sie die fehlerhafte Software bereitgestellt und gewartet haben.
📣 Telegram-Kanal der Fachanwältin
Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.
Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.
Wie funktionierte der technische Angriff auf Rhea Finance im Detail?
Der Angreifer nutzte einen Doppelzählungsfehler im Slippage-Schutz der Margin-Trading-Funktion. Dazu schuf er eine komplexe Infrastruktur: 423 vorbereitete Intermediär-Wallets, acht gefälschte Token-Pools auf Ref Finance und ein eigener Swap-Router. Diese Konstruktion ermöglichte es, innerhalb einer Transaktion denselben Tokenwert mehrfach als Sicherheit einzusetzen und Gelder aus dem Protokoll zu entnehmen.
Das technische Herzstück des Angriffs war eine Schwachstelle, die in der Fachwelt als „double-counting vulnerability“ bezeichnet wird. Wenn Sie in einem Lending-Protokoll eine Margin-Position eröffnen, prüft das System, ob der hinterlegte Wert als Sicherheit ausreicht. Der Slippage-Schutz soll dabei sicherstellen, dass Preisschwankungen während der Ausführung der Transaktion den Besicherungsgrad nicht gefährden. Im Fall von Rhea Finance war dieser Schutz fehlerhaft implementiert. Bei sequenziellen Token-Swaps innerhalb einer einzigen atomaren Transaktion zählte die Buchführungslogik denselben Tokenwert doppelt — obwohl er physisch nur einmal vorhanden war.
Welche Rolle spielten die 423 Intermediär-Wallets beim Angriff?
Diese algorithmische Lücke allein hätte jedoch nicht ausgereicht. Der Angreifer baute eine vollständige Parallel-Infrastruktur auf, um die Entdeckung zu verzögern und die Gelder zu fragmentieren. Die 423 Intermediär-Wallets dienten als Puffer-Adressen, durch die die entnommenen Gelder in kleinen Tranchen flossen. Diese Technik bezeichnet die Blockchain-Forensik als „layering“ — ein Begriff aus dem klassischen Geldwäscherecht. Ref Finance ist ein bekannter DEX auf dem NEAR-Protocol. Dort entstanden acht gefälschte Token-Pools mit wertlosen oder manipulierten Tokens, die als Brücke für den Wertabzug fungierten. Der selbst entwickelte Swap-Router war das verbindende Element. Er ermöglichte die automatisierte Ausführung der Angriffstransaktionen — ohne manuelle Eingriffe bei jeder einzelnen Transaktion.
Für Sie als Betroffene ist diese technische Tiefe aus einem weiteren Grund relevant. Sie belegt die Professionalität und Planmäßigkeit des Vorgehens. Im Rahmen der Krypto-Tracing und Blockchain-Forensik lassen sich solche Infrastrukturen rekonstruieren. Spezialisierte Forensik-Tools können die Geldflüsse über alle 423 Wallets verfolgen, die gefälschten Token-Pools identifizieren und die zeitliche Abfolge der Transaktionen lückenlos dokumentieren. Dieses forensische Protokoll bildet die Grundlage für jeden zivilrechtlichen Anspruch, den Sie gegenüber Verantwortlichen oder Intermediären geltend machen möchten.
Die Reaktion der Plattform und externer Akteure verlief in zwei Stufen. Unmittelbar nach der Erkennung des Exploits pausierte Rhea Finance den Lending-Smart-Contract. Diese Notfallmaßnahme verhinderte weitere Verluste, brachte aber die bereits entnommenen Gelder nicht zurück. Die entscheidende zweite Maßnahme kam von Tether: Das Unternehmen fror 3,29 Millionen USDT direkt in einem als zugehörig identifizierten Angreifer-Wallet ein. Auf diese Weise sicherten die Beteiligten insgesamt rund 9 Millionen US-Dollar — das entspricht knapp 49 Prozent des Gesamtschadens. Rund 9,4 Millionen US-Dollar verblieben zunächst in den Händen der Täter.
Welche zivilrechtlichen Ansprüche haben deutsche Geschädigte nach dem Rhea Finance Hack?
Deutsche Geschädigte können je nach Sachverhalt Ansprüche aus § 675u BGB, § 280 BGB, § 823 Abs. 2 BGB i.V.m. § 32 KWG sowie aus § 812 BGB geltend machen. Welche Norm greift, hängt vom konkreten Sachverhalt ab. Entscheidend ist dabei, ob Sie über ein deutsches Kreditinstitut investiert haben und ob Intermediäre an der Transaktion beteiligt waren.
Der erste und häufig übersehene Anspruchsweg führt über Ihre Hausbank oder Ihren Zahlungsdienstleister. Haben Sie Gelder über ein deutsches Kreditinstitut auf eine Blockchain-Wallet transferiert? Und wurde diese Wallet anschließend auf Rhea Finance eingesetzt? Dann prüfen Sie, ob Ihre Bank dabei Warn- oder Prüfpflichten verletzt hat. § 675u BGB verpflichtet Zahlungsdienstleister, nicht autorisierte Zahlungsvorgänge zu erstatten. Hat die Bank eine Überweisung ausgeführt, obwohl Indizien auf einen Betrug hindeuteten — etwa bekannte Zieladressen krimineller Infrastruktur? Dann besteht ein Schadensersatzanspruch aus § 280 BGB wegen Verletzung von Nebenpflichten aus dem Zahlungsdiensterahmenvertrag. Die Bankhaftung bei Kryptobetrug ist ein eigenständiger Haftungsweg, den Sie parallel zu Ansprüchen gegen die Plattform-Betreiber verfolgen können.
Welche Ansprüche bestehen direkt gegen die Plattform-Betreiber?
Gegen die Betreiber von Rhea Finance steht Ihnen ein Anspruch auf Schadensersatz nach § 823 Abs. 2 BGB i.V.m. § 32 KWG zu. Voraussetzung ist, dass die Plattform ohne die erforderliche BaFin-Erlaubnis betrieben wurde. § 32 KWG verbietet Bankgeschäfte und Finanzdienstleistungen ohne Zulassung. Lending-Protokolle, die Einlagen entgegennehmen und Zinsen versprechen, fallen potenziell unter diesen Tatbestand. Liegt keine BaFin-Lizenz vor, ist der Vertrag nach § 134 BGB nichtig, und Sie können die geleisteten Zahlungen nach § 812 BGB als ungerechtfertigte Bereicherung zurückfordern.
Zusätzlich ist § 826 BGB zu prüfen: Wer vorsätzlich in einer gegen die guten Sitten verstoßenden Weise einem anderen Schaden zufügt, haftet auf Ersatz. Diese Norm trifft Betreiber, die in Kenntnis des protokollimmanenten Risikos oder bei grob fahrlässiger Unkenntnis weiterhin Nutzergelder entgegengenommen haben. Machten die Betreiber gefälschte oder irreführende Angaben über die Sicherheit des Protokolls, kommt zusätzlich eine Anfechtung wegen arglistiger Täuschung nach § 123 BGB in Betracht. Die Rechtsprechung hat das in mehreren Urteilen bestätigt. Deutsche Gerichte können auch bei grenzüberschreitenden DeFi-Sachverhalten zuständig sein, wenn sich der Schaden im Inland realisiert hat.
Wie funktioniert die Rückgewinnung eingefrorener Vermögenswerte nach § 73 StGB i.V.m. § 111e StPO?
Die durch Tether eingefrorenen 3,29 Millionen USDT sowie weitere gesicherte Mittel von insgesamt rund 9 Millionen US-Dollar bieten eine reale Grundlage für Rückgewinnungshilfe. Über § 73 StGB i.V.m. § 111e StPO können Geschädigte anteilig an der Rückführung partizipieren. Ein aktiv betriebenes Strafverfahren ist dafür nicht erforderlich.
Das Einfrieren von Kryptowerten durch Stablecoin-Emittenten wie Tether ist ein privatrechtlicher Akt, der jedoch regelmäßig mit behördlichen Ermittlungsmaßnahmen koordiniert wird. Haben Strafverfolgungsbehörden — in Deutschland, einem EU-Mitgliedstaat oder den USA — ein Ermittlungsverfahren eingeleitet, können sie nach § 111e StPO die Arrestierung von Vermögenswerten anordnen. Ziel ist die spätere Einziehung. Die strafrechtliche Einziehung nach § 73 StGB i.V.m. § 73a StGB erfasst dabei nicht nur unmittelbar erlangte Gelder, sondern auch Surrogate und Wertersatz.
Wie melden Geschädigte ihre Forderung in Rückführungsverfahren an?
Für Sie als Geschädigte bedeutet dies: Sie haben die Möglichkeit, gegenüber ermittelnden Behörden Ihre zivilrechtliche Schadensersatzforderung als Verletzte anzumelden. So fallen eingezogene Gelder nicht ausschließlich dem Staat zu, sondern bleiben für die Opferentschädigung reserviert. Dieser Mechanismus greift auch dann, wenn Sie selbst kein aktives Strafverfahren initiieren möchten. In der Praxis empfiehlt sich die frühzeitige Beauftragung einer spezialisierten Kanzlei. Sie koordiniert die Anmeldung Ihrer Forderung und beschreitet parallel die zivilrechtlichen Wege.
Die forensische Dokumentation spielt dabei eine Schlüsselrolle. Fehlen lückenlose Blockchain-Belege zu Ihrer Einzahlung und den entstandenen Verlusten, ist eine Beteiligung an Rückführungsverfahren erheblich erschwert. Professionelles Krypto-Tracing führt die eingefrorenen Mittel auf Ihre ursprünglichen Einzahlungen zurück. Das ist Voraussetzung dafür, dass Ihre Forderung in einem Rückführungsverfahren anerkannt wird. Die Forensik-Kette von Ihrer Wallet über die Intermediär-Wallets bis zu den eingefrorenen Tether-Beständen ist technisch komplex. Bei Rhea Finance lässt sie sich dank der öffentlich zugänglichen Post-Mortem-Daten jedoch bereits zu weiten Teilen rekonstruieren.
Welche Rolle spielt die MiCAR-Regulierung für Ansprüche gegen Rhea Finance?
Die EU-Verordnung über Märkte für Kryptowerte (MiCAR) schreibt für Anbieter von Krypto-Dienstleistungen (CASPs) Zulassungspflichten, Transparenzanforderungen und Verhaltenspflichten vor. Wer diese verletzt, haftet gegenüber Betroffenen nach nationalem Schadenersatzrecht — in Deutschland in Verbindung mit § 823 Abs. 2 BGB, das Schutzgesetze als Haftungsgrundlage einbezieht.
MiCAR ist seit dem 30. Dezember 2024 in allen EU-Mitgliedstaaten unmittelbar anwendbar und bildet den neuen regulatorischen Rahmen für Krypto-Dienstleistungsanbieter. Bei einem Lending-Protokoll mit Marginfunktion und Nutzereinlagen ist die CASP-Qualifikation ernsthaft zu prüfen. Trifft sie auf Rhea Finance zu, hätte die Plattform eine EU-Zulassung benötigt und wäre umfangreichen Regulierungspflichten unterworfen gewesen. Die fehlende Zulassung wäre dann nicht nur ein Ordnungswidrigkeitentatbestand, sondern begründete auch zivilrechtliche Ansprüche der Geschädigten.
Fällt Rhea Finance unter MiCAR oder unter die Ausnahme für dezentrale Protokolle?
Für Sie als Nutzerin oder Nutzer aus dem EU-Raum ist die MiCAR-Qualifikation von Rhea Finance eine der ersten Fragen, die eine spezialisierte Kanzlei im Rahmen der Fallprüfung klärt. Dabei ist zu berücksichtigen, dass vollständig dezentrale Protokolle ohne zentralen Emittenten oder Dienstleistungsanbieter grundsätzlich nicht unter MiCAR fallen. Rhea Finance ist jedoch kein rein autonomes Protokoll: Eine identifizierbare Betreiberstruktur existiert, die den Lending-Vertrag deployt hat, die Pausierfunktion ausübte und Nutzer aktiv akquirierte. Dieses Zusammenspiel legt eine CASP-Qualifikation nahe, die rechtlich eine Schutzgesetzeigenschaft von MiCAR begründen kann.
Parallel dazu ist die Auskunftspflicht nach § 44 KWG gegenüber der BaFin von Bedeutung. Wenn Sie der BaFin eine Beschwerde einreichen, ist die Behörde berechtigt, von Plattformen und deren Korrespondenzbanken Auskunft zu verlangen. Solche Auskünfte können für Ihre zivilrechtliche Klage wertvolle Informationen über Vertragsstrukturen, Haftungsträger und Unternehmenssitze liefern. Gerade in Fällen, in denen Betreiber bewusst intransparent agieren, ist der behördliche Auskunftsweg ein wichtiges Instrument zur Sachverhaltsaufklärung.
Im weiteren Kontext der DeFi-Sicherheitslage lohnt ein Blick auf die Europol-Zerschlagung von 700-Millionen-Kryptobetrug-Netzwerken. Sie zeigt, wie koordinierte europäische Strafverfolgungsmaßnahmen auch in scheinbar unkontrollierbaren dezentralen Räumen greifen. Die Parallelen zu Rhea Finance sind offensichtlich: professionelle Vorbereitung, grenzüberschreitende Infrastruktur und der Versuch, Gewinne durch Layering zu verschleiern.
Sie haben durch eine betrügerische Plattform Geld verloren? Schildern Sie uns Ihren Fall — unsere Fachanwältin für Bank- und Kapitalmarktrecht prüft Ihre Handlungsoptionen. Schreiben Sie an kryptoschaden@rexus-recht.de oder nutzen Sie das Kontaktformular auf kryptoschaden.de.
Was sollten Geschädigte jetzt konkret unternehmen, um ihre Ansprüche zu sichern?
Unmittelbar nach dem Erkennen eines Schadens durch den Rhea Finance Hack sind drei Maßnahmen prioritär. Erstens: Beweissicherung auf Blockchain-Ebene. Zweitens: Dokumentation aller Kommunikation mit der Plattform. Drittens: Einleitung einer anwaltlichen Fallprüfung. Je früher Sie diese Schritte einleiten, desto besser. Die Wahrscheinlichkeit steigt, dass Ihre Forderung in laufenden Rückführungsverfahren berücksichtigt wird. Außerdem schützen Sie sich so vor ablaufenden Verjährungsfristen.
An erster Stelle steht die vollständige Transaktionsdokumentation. Exportieren Sie alle relevanten Daten aus Ihrem Wallet: Transaktions-Hashes, Block-Nummern, Zeitstempel und die Adressen aller beteiligten Smart Contracts. Auf dem NEAR-Protocol sind sämtliche Transaktionen öffentlich einsehbar und über Block-Explorer wie NEAR Explorer archivierbar. Sichern Sie diese Daten in mehreren Kopien an verschiedenen Orten. Diese Rohdaten sind die unwiderlegbare Grundlage für jede rechtliche Auseinandersetzung — ohne sie ist eine erfolgreiche Rechtsdurchsetzung erheblich erschwert.
Welche Kommunikationsnachweise sind für die Rechtsdurchsetzung entscheidend?
Parallel dazu sollten Sie alle Kommunikationsverläufe mit Rhea Finance sichern: E-Mails, Discord-Nachrichten, Telegram-Verläufe und Social-Media-Interaktionen. Falls Sie über einen Vermittler oder eine Plattform auf Rhea Finance aufmerksam geworden sind, sichern Sie auch diese Kommunikation. Sie kann für Ansprüche nach § 280 BGB wegen Verletzung von Aufklärungspflichten und nach § 123 BGB wegen arglistiger Täuschung relevant sein. Im Zusammenhang mit KI-gestützten Betrugsmaschen sei auch auf aktuelle KI-Krypto-Betrug und Deepfake-Phishing-Methoden 2026 hingewiesen, die häufig als Akquise-Kanal für unseriöse Plattformen dienen.
Ein häufig unterschätzter Aspekt ist die Verjährung. Zivilrechtliche Schadensersatzansprüche nach § 280 BGB oder § 826 BGB verjähren grundsätzlich in drei Jahren. Die Frist beginnt mit dem Schluss des Jahres, in dem Sie Kenntnis vom Schaden erlangt haben. Gleiches gilt, wenn Sie die Kenntnis grob fahrlässig nicht erlangt haben. Da der Hack im April 2026 stattfand und durch umfangreiche Medienberichterstattung bekannt wurde, beginnt die Verjährungsfrist für die meisten Betroffenen mit dem Schluss des Jahres 2026. Bis Ende 2029 wäre damit regulär Zeit, Ansprüche durchzusetzen. Dennoch empfiehlt sich entschlossenes Handeln: Die Qualität der Beweisführung nimmt mit zunehmendem zeitlichem Abstand ab, und laufende Rückführungsverfahren bevorzugen frühzeitige Forderungsanmeldungen.
Falls Sie Ihre Gelder über eine deutsche oder europäische Kryptobörse erworben haben, prüfen Sie die Aufklärungspflichten der Börse. Hat sie Sie über bekannte Risiken von Rhea Finance informiert? Regulierte Börsen unterliegen Aufklärungspflichten, deren Verletzung nach § 280 BGB haftungsbegründend sein kann. Das zeigt auch das Urteil des Landgerichts Bamberg zur Bitcoin-Bande und Fake-Trading. Deutsche Gerichte sind bereit, Verantwortliche auch bei Sachverhalten mit internationalem Bezug zur Rechenschaft zu ziehen.
Schließlich sollten Sie prüfen, ob Ihre Vermögensschadenshaftpflichtversicherung oder eine bestehende Rechtsschutzversicherung die Kosten einer anwaltlichen Durchsetzung übernimmt. Viele Rechtsschutzversicherungen haben DeFi-bezogene Schäden in den letzten Jahren in ihre Deckungsumfänge aufgenommen. Klären Sie dies vorab mit Ihrem Versicherungsmakler, bevor Sie rechtliche Schritte einleiten.
Wie schützen Sie sich künftig vor ähnlichen DeFi-Exploits?
Die Schutzmaßnahmen gegen DeFi-Exploits vom Typ des Rhea Finance Hacks lassen sich in drei Bereiche unterteilen: technische Due Diligence, regulatorische Prüfung und Risikostreuung. Bevor Sie erhebliche Summen in ein DeFi-Protokoll investieren, stellen Sie drei Fragen: Liegen unabhängige Smart-Contract-Audits vor? Sind die Betreiberidentitäten transparent? Unterliegt das Protokoll einer EU-Regulierung?
Das erste Kriterium bei der Prüfung eines DeFi-Protokolls ist das Vorliegen mehrerer unabhängiger Smart-Contract-Audits von renommierten Prüfgesellschaften. Ein einzelnes Audit genügt nicht: Der Rhea Finance Hack zeigt, dass die fragliche Schwachstelle im Slippage-Schutz trotz vorhandener Prüfberichte nicht erkannt oder nicht behoben wurde. Fragen Sie daher immer nach dem Datum des letzten Audits. Prüfen Sie außerdem, ob seit diesem Datum bedeutende Code-Änderungen vorgenommen wurden. Jede Änderung am Smart-Contract-Code ohne erneutes Audit ist ein potenzielles Einfallstor.
Warum ist die Transparenz der Betreiberstruktur rechtlich entscheidend?
Das zweite Kriterium ist die Transparenz der Betreiberstruktur. Können Sie nicht herausfinden, wer hinter einem Protokoll steht? Ist unklar, wo das Unternehmen registriert ist und wer die Admin-Keys kontrolliert? Dann empfiehlt sich äußerste Zurückhaltung. Anonyme Entwicklerteams sind in der DeFi-Branche zwar weit verbreitet, aber aus rechtlicher Perspektive ein erhebliches Risiko: Ohne identifizierbare Haftungsträger gestaltet sich die zivilrechtliche Durchsetzung erheblich schwieriger. Die MiCAR-Verordnung zielt genau auf dieses Problem ab, indem sie für regulierte Akteure vollständige Transparenz über die Unternehmensstruktur vorschreibt.
Das dritte Kriterium ist die Risikostreuung. Unabhängig von der Qualität einer Plattform empfiehlt es sich, keine Summen zu investieren, deren Verlust Sie existenziell beeinträchtigen würde. DeFi-Protokolle tragen inhärente Smart-Contract-Risiken, die kein Audit vollständig eliminieren kann. Betrachten Sie DeFi-Investitionen als hochspekulativen Anteil Ihres Portfolios und halten Sie die Exposition entsprechend begrenzt. Diese Vorsicht schützt Sie vor Exploits wie dem Rhea Finance Hack. Sie bewahrt Sie zugleich vor Marktmanipulationen, Rug Pulls und anderen Betrugsformen, die im DeFi-Bereich nach wie vor verbreitet sind.
Was ist beim Rhea Finance Hack genau passiert und wie hoch war der Schaden?
Beim Rhea Finance Hack, der zwischen dem 13. und 15. April 2026 vorbereitet und danach ausgeführt wurde, nutzte ein Angreifer einen Doppelzählungsfehler im Slippage-Schutz der Margin-Trading-Funktion des Protokolls aus. Der Angreifer richtete dafür 423 Intermediär-Wallets ein, deployte acht gefälschte Token-Pools auf Ref Finance und entwickelte einen eigenen Swap-Router. Der anfänglich auf 7,6 Millionen US-Dollar geschätzte Schaden korrigierte sich nach dem Post-Mortem auf 18,4 Millionen US-Dollar. Tether fror 3,29 Millionen USDT direkt in einem Angreifer-Wallet ein, sodass insgesamt rund 9 Millionen US-Dollar gesichert werden konnten. Rhea Finance pausierte den Lending-Vertrag als Notfallmaßnahme, um weitere Schäden zu verhindern.
Können deutsche Geschädigte nach dem Rhea Finance Hack Geld zurückbekommen?
Ja, für deutsche Geschädigte des Rhea Finance Hacks bestehen konkrete rechtliche Möglichkeiten zur Rückforderung von Geldern. Zivilrechtliche Ansprüche können sich aus § 675u BGB gegen den zahlungsausführenden Zahlungsdienstleister ergeben, sofern dieser Warn- oder Prüfpflichten verletzt hat. Gegen die Plattform-Betreiber selbst kommen Ansprüche nach § 823 Abs. 2 BGB in Verbindung mit § 32 KWG in Betracht, wenn das Protokoll ohne die erforderliche Erlaubnis betrieben wurde. Darüber hinaus ermöglicht der Mechanismus nach § 73 StGB in Verbindung mit § 111e StPO, dass Geschädigte an Rückführungsverfahren über die bereits eingefrorenen rund 9 Millionen US-Dollar partizipieren können. Entscheidend sind eine frühzeitige anwaltliche Fallprüfung und die lückenlose Sicherung der Transaktionsdaten.
Welche Beweise sollten Geschädigte des Rhea Finance Hacks sichern?
Geschädigte des Rhea Finance Hacks sollten umgehend alle Transaktions-Hashes, Block-Nummern und Zeitstempel aus ihren Wallets exportieren und in mehreren Kopien sichern. Ergänzend sind sämtliche Kommunikationsverläufe mit der Plattform zu archivieren: E-Mails, Discord- und Telegram-Nachrichten, Social-Media-Interaktionen sowie alle Werbematerialien oder Anlageangebote, die Sie zu einer Investition bewogen haben. Falls Sie über eine Kryptobörse oder einen Vermittler auf Rhea Finance aufmerksam gemacht wurden, ist auch diese Kommunikation beweisrelevant. Diese Rohdaten bilden die unerlässliche Grundlage für zivilrechtliche Ansprüche und für die Anmeldung Ihrer Forderung in etwaigen Rückführungsverfahren für die eingefrorenen Mittel.
Wie lange haben Geschädigte Zeit, um ihre Ansprüche geltend zu machen?
Zivilrechtliche Schadensersatzansprüche wegen des Rhea Finance Hacks verjähren nach den allgemeinen Regeln des deutschen Bürgerlichen Gesetzbuchs in der Regel nach drei Jahren. Diese Frist beginnt mit dem Schluss des Jahres, in dem die geschädigte Person Kenntnis von dem Schaden und der Person des Schädigers erlangt hat, frühestens jedoch mit dem Schluss des Jahres 2026. Damit ist regulär bis Ende 2029 Zeit, Ansprüche geltend zu machen. Gleichwohl empfiehlt sich entschlossenes Handeln, da die Qualität der Beweisführung mit zunehmendem zeitlichem Abstand sinkt und früh angemeldete Forderungen in laufenden Rückführungsverfahren bevorzugt berücksichtigt werden. Bestimmte Ansprüche — etwa solche aus arglistiger Täuschung nach § 123 BGB — unterliegen kürzeren Anfechtungsfristen von einem Jahr. Daher ist eine schnelle anwaltliche Prüfung geboten.
Hat die MiCAR-Verordnung Einfluss auf die Haftung der Rhea-Finance-Betreiber?
Die MiCAR-Verordnung, die seit dem 30. Dezember 2024 in der gesamten EU unmittelbar anwendbar ist, könnte für Rhea Finance als Krypto-Dienstleistungsanbieter (CASP) relevant sein, sofern die Plattform eine zulassungspflichtige Tätigkeit im Sinne der Verordnung ausübt. Lending-Protokolle mit identifizierbarer Betreiberstruktur, die Nutzereinlagen entgegennehmen und Zinsen versprechen, sind potenzielle Kandidaten für die CASP-Qualifikation. Bei fehlender MiCAR-Zulassung würde dies über § 823 Abs. 2 BGB, der Schutzgesetze als Haftungsgrundlage einbezieht, zivilrechtliche Ansprüche der Geschädigten begründen. Ob Rhea Finance unter den vollständig dezentralen Protokollausnahmen der MiCAR fällt oder als regulierungspflichtiger CASP zu behandeln ist, ist eine der zentralen rechtlichen Fragen, die eine individualrechtliche Fallprüfung klärt.
„Wenn Sie Opfer von Krypto-Betrug geworden sind, zählt jede Stunde. Sichern Sie Ihre Beweise und lassen Sie Ihren Fall von einer spezialisierten Kanzlei analysieren. Kontaktieren Sie uns unter kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.“
— Anna O. Orlowa, LL.M., RAin + FAin Bank-/Kapitalmarktrecht, Zert. Expertin Kryptowerte + Steuern