system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/fixedfloat-hack-2024-was-geschah$ cat post.md

FixedFloat-Hack 2024: Was wirklich geschah

// by ~anon · 2026-05-31 · mock,auto-generated,de

FixedFloat-Hack 2024: Was wirklich geschah

Am 16. Februar 2024 entdeckten Trader, die auf die Statusseite von FixedFloat blickten, zunächst nur eine kurze, fast beiläufige Notiz über „technische Arbeiten". Wenige Stunden später zählten On-Chain-Ermittler bereits die Abflüsse: Rund 409 BTC und 1.728 ETH hatten die Hot Wallets der Börse verlassen und waren auf Adressen ohne jegliche Vorgeschichte gewandert. Als sich der Staub legte, belief sich der Schaden auf rund 26 Millionen US-Dollar. Damit war der FixedFloat-Vorfall der größte Hack einer KYC-freien Swap-Plattform im ersten Halbjahr 2024 und einer der am intensivsten analysierten Sicherheitsverstöße des Jahres. Der Schaden war nicht nur finanzieller Natur — er zwang eine ganze Kategorie von Sofort-Tauschdiensten dazu, ihre Hot-Wallet-Exposition, das Vertrauen in externe Signer und ihre Kommunikation während eines Vorfalls grundlegend neu zu denken.

Diese Aufarbeitung rekonstruiert die Zeitachse, die On-Chain-Forensik, die offen gebliebenen Fragen und die praktischen Konsequenzen für jeden, der KYC-freie Swap-Dienste nutzt. Wenn du datenschutzrelevante Trades über Aggregatoren oder direkt über Dienste wie MoneroSwapper abwickelst, sind die Lehren aus dem FixedFloat-Vorfall vom Februar 2024 auch im Jahr 2026 noch tragend: Die Angriffsfläche, die er offenlegte, ist nicht verschwunden, sie hat sich nur diversifiziert.

Der Tag, an dem FixedFloat dunkel wurde

FixedFloat hatte sich über vier Jahre den Ruf einer zuverlässigen Sofort-Tauschbörse erarbeitet — kein Konto, keine E-Mail, kein KYC, nur ein verbindlicher Kurs und eine Adresse. Anfang 2024 wickelte die Plattform mehrere tausend Swaps pro Tag über mehr als 60 Coins ab, darunter Monero, Bitcoin, Litecoin und eine lange Liste von EVM-Assets. Dieses Volumen machte die Plattform zu einem attraktiven Ziel, und am 16. Februar kassierte jemand.

Die erste öffentliche Reaktion war ungeschickt. FixedFloats erste Mitteilung führte den Ausfall auf „kleinere technische Probleme" zurück und bat die Nutzer, sich zu gedulden. Innerhalb von sechs Stunden hatten Blockchain-Analysten bereits Wallet-Adressen, Transaktions-Hashes und eine grobe laufende Schadenssumme veröffentlicht. Erst dann bestätigte die Börse, was für jeden, der die Chain beobachtete, längst offensichtlich war.

  • Bitcoin-Verlust: rund 409 BTC, abgezogen in einer Serie von UTXO-Konsolidierungen aus dem Hot Wallet von FixedFloat auf vom Angreifer kontrollierte Adressen.
  • Ethereum-Verlust: rund 1.728 ETH, in sauberen Batches abgeräumt und unmittelbar danach in bekannte Coin-Mixing-Infrastruktur weitergeleitet.
  • Gesamtwert: etwa 26 Millionen US-Dollar zu den Spotpreisen am Tag des Vorfalls.
  • Erkennungsverzögerung: Zwischen dem ersten verdächtigen Abfluss und der ersten öffentlichen Bestätigung durch FixedFloat lagen fast drei Stunden.
  • Nutzerauswirkung: Laufende Swaps wurden angehalten, Rückerstattungen verzögerten sich wochenlang, und mehrere größere Kunden meldeten Teilverluste bei Transaktionen, die von der Börse bereits bestätigt, aber nie ausgeliefert worden waren.

Genau diese Erkennungsverzögerung ist für professionelle Incident-Responder der beunruhigendste Aspekt. Hot Wallets, die in unbekannte Adressen ausbluten, sollten in Sekunden automatisierte Alarme auslösen, nicht erst nach Stunden. Dass der Angreifer Zeit hatte, UTXOs zu konsolidieren und Ethereum über Mixing-Dienste zu schleusen, bevor irgendeine öffentliche Erklärung erfolgte, legt nahe, dass das interne Monitoring entweder versagte, umgangen wurde oder während des Angriffsfensters aktiv unterdrückt wurde.

Wie der Angriff tatsächlich ablief

FixedFloat hat nie eine formale Post-Mortem-Analyse veröffentlicht, und das ist Teil der Geschichte. Das meiste, was öffentlich bekannt ist, stammt aus unabhängiger On-Chain-Analyse durch Firmen wie SlowMist, MistTrack und PeckShield sowie aus Community-Threads, die den Geldfluss nahezu in Echtzeit rekonstruierten. Drei Bausteine fügen sich zum allgemein akzeptierten Bild zusammen.

Das Hot-Wallet-Expositionsmodell

Sofort-Tauschbörsen leben und sterben mit ihrer Hot-Wallet-Liquidität. Anders als Orderbuch-Börsen, die zwischen den Trades große Reserven in Cold Storage verschieben können, muss ein konto­loser Swap-Dienst genau in dem Moment abrechnen, in dem eine Einzahlung bestätigt wird. Das bedeutet: Ein arbeitsfähiger Bestand muss online liegen, nach Adresse indiziert und bereit, ausgehende Transaktionen auf Abruf zu signieren. Die Hot Wallets von FixedFloat für BTC und ETH waren auf das Spitzenvolumen am Wochenende ausgelegt — was hieß, dass zweistellige Millionenbeträge an liquiden Mitteln ständig im Zugriff der Signaturinfrastruktur lagen, die die Plattform einsetzte.

Die Kompromittierung des Signers

Das On-Chain-Muster des FixedFloat-Abflusses — große, saubere Sweeps ohne fragmentiertes Verhalten, ohne fehlgeschlagene Versuche, ohne Probetransaktionen — passt zu einem Angreifer, der bereits über gültige Signaturbefugnis verfügte. Es gab keinen Smart-Contract-Exploit, keinen Bridge-Bug, keine Orakel-Manipulation. Die Schlüssel selbst oder die Systeme, die sie verwalteten, waren der Vektor. Ob das nun einen geleakten privaten Schlüssel, eine kompromittierte HSM-Sitzung, einen böswilligen Insider oder eine Lieferketten-Kompromittierung einer Signatur-Abhängigkeit bedeutete: Das praktische Ergebnis war identisch. Der Angreifer signierte Transaktionen, die FixedFloat selbst signiert hätte.

Die Geldwäsche-Route

Innerhalb von 24 Stunden nach dem Angriff wurden große Teile des gestohlenen ETH über eXch — einen weiteren KYC-freien Swap-Dienst — geleitet und in datenschutzfreundliche Assets umgewandelt. Ein Teil des BTC nahm einen längeren Weg durch Mixing-Infrastruktur, bevor er sich auf Dutzende frischer Adressen aufsplittete. Die Nutzung einer weiteren KYC-freien Börse zur Wäsche der Erlöse wurde zu einem Wendepunkt in der Branche, und eXch geriet später unter anhaltenden regulatorischen Druck, der zur eigenen Abschaltung im Jahr 2025 beitrug. Der FixedFloat-Hack ist also nicht nur die Geschichte eines schlechten Tages einer einzelnen Börse — er löste eine Kettenreaktion im gesamten KYC-freien Ökosystem aus.

Das Lehrreiche an FixedFloat ist nicht, dass Hot Wallets leergeräumt werden können, sondern wie lange es dauerte, bis irgendjemand innerhalb des Unternehmens es bemerkte. Monitoring, das davon abhängt, dass ein Mensch auf ein Dashboard schaut, ist kein Monitoring.

Die wichtigsten Vorfälle ohne KYC im Vergleich

FixedFloat ist nicht der einzige KYC-freie Dienst, der einen größeren Sicherheitsverstoß erlitten hat. Stellt man ihn neben andere Vorfälle derselben Ära, werden die strukturellen Risiken der Kategorie sichtbarer. Das Muster ist konsistent: Hot-Wallet-Exposition, langsame öffentliche Kommunikation und Geldwäsche, die in Richtung datenschutzwahrender Infrastruktur fließt.

VorfallGeschätzter VerlustAngriffsvektorÖffentliche Post-Mortem
FixedFloat (Feb 2024)~26 Mio. USDSigner-Kompromittierung Hot WalletKeine veröffentlicht
FixedFloat (Folge März 2024)~3 Mio. USDGleiche Infrastruktur, Teil-WiederverwendungKeine veröffentlicht
eXch Geldwäsche-ExpositionIndirektEingehende gestohlene MittelNur operative Statements
Bridge-Exploits Ø 2022–2024100 Mio. USD+ pro VorfallSmart-Contract-BugMeist veröffentlicht
CEX-Cold-Storage-BrücheSeltenMulti-Sig-KompromittierungManchmal veröffentlicht

Was die KYC-freie Kategorie unterscheidet, ist das Schweigen danach. Eine regulierte Börse, die Kundengelder verliert, sieht sich sofortigen Offenlegungspflichten gegenüber — in Deutschland greift dabei je nach Struktur die Aufsicht der BaFin, die seit der vollständigen MiCAR-Anwendung 2025 die Meldung von Sicherheitsvorfällen für lizenzierte Krypto-Dienstleister verbindlich erwartet. Eine KYC-freie Börse hat keine solche Pflicht und oft kommerzielle Gründe, Details unter Verschluss zu halten: Jede technische Offenlegung kann zukünftigen Angreifern helfen, jede operative Offenlegung kann Regulierer anziehen. Das Ergebnis ist eine Kategorie, in der Nutzer die Sicherheit von außen beurteilen müssen, mit On-Chain-Brotkrumen als einziger verlässlicher Quelle der Wahrheit.

So schützt du dich bei der Nutzung von Swap-Diensten ohne KYC

Der FixedFloat-Vorfall bedeutet nicht, dass KYC-freie Swap-Dienste gemieden werden sollten — für viele Nutzer, gerade in Jurisdiktionen, die finanzielle Privatsphäre einschränken, bleiben sie die einzige realistische Option. Er bedeutet aber, dass das Bedrohungsmodell ein anderes ist als bei einer verwahrenden Börse, und dein Verhalten sollte das widerspiegeln. Die folgenden Schritte spiegeln wider, was erfahrene Trader nach dem Februar 2024 übernommen haben.

  1. Behandle das Swap-Fenster als Transit, nicht als Lagerung. Die Mittel, die du an eine KYC-freie Börse sendest, sollen durchfließen, nicht liegen bleiben. Bereite deine Zieladresse vor — idealerweise ein Wallet, dessen Schlüssel du kontrollierst, etwa ein Monero-Wallet aus einer Polyseed-Mnemonik — bevor du den Swap startest. Nicht auf halber Strecke pausieren.
  2. Bemiss jeden Swap mit Bedacht. Die Hot Wallets von FixedFloat wurden leergeräumt, weil sie auf Spitzenvolumen ausgelegt waren. Auf Nutzerseite ist die Lehre spiegelbildlich: Schicke nie eine Transaktion durch, die größer ist als das, was du im schlimmsten Fall verschmerzen kannst. Mehrere kleinere Swaps über unterschiedliche Anbieter sind besser als ein großer.
  3. Prüfe die Einzahlungsadresse on-chain, bevor du sendest. Seriöse Plattformen zeigen pro Order eine frische Einzahlungsadresse an. Sieh die Adresse kurz auf einem Block-Explorer nach. Ein Wallet ohne Historie ist bei einer frischen Order ein gutes Zeichen; ein Wallet mit tausenden eingehenden Transaktionen ist ein Warnsignal für die Sicherheitshygiene.
  4. Vergleiche den Kurs. Wenn der angebotene Kurs dramatisch besser ist als bei Wettbewerbern, einschließlich MoneroSwapper, ist das ein Signal, das es zu hinterfragen gilt — kein Schnäppchen, das es zu greifen gilt. Preisanomalien korrelieren oft mit angespannter Liquidität oder, in Extremfällen, mit Plattformen, die unter Kompromittierung operieren.
  5. Bestätige den Abschluss in einem Monero-Wallet, das du kontrollierst. Sobald der Swap an deiner Zieladresse eingeht, prüfe die Transaktion in deinem Wallet — die RingCT-Outputs sichtbar, die Stealth-Adresse erzeugt einen Saldo, dein View Key stimmt mit dem erwarteten Betrag überein. Bis du das in deiner eigenen Software erledigt hast, ist der Swap nicht abgeschlossen.
  6. Verschiebe Mittel zügig in Langzeitverwahrung. Wenn dein Plan ist, Monero langfristig zu halten, schiebe die empfangenen Outputs so bald wie praktikabel in ein Wallet, dessen Seed offline liegt. Je länger datenschutzwahrende Assets an einer bekannten Counterparty-Adresse verweilen, desto mehr Metadaten sammeln sie an.

Warum diese Geschichte für Monero-Swap-Nutzer wichtig ist

Monero-Nutzer sind unter den Kunden KYC-freier Börsen überrepräsentiert, und das aus naheliegenden Gründen: Die On-Ramps zu Monero — aus Fiat oder aus anderen Kryptowährungen — haben sich zwischen 2021 und 2026 spürbar verengt, und Sofort-Tauschdienste sind zu einem primären Weg geworden. Damit wird die Sicherheit dieser Dienste zu einer direkten Sorge für jeden, der Monero so nutzen will, wie es gedacht ist. Wenn eine Börse wie FixedFloat kompromittiert wird, betrifft das Versagen nicht nur die Personen, deren Einzahlungen beim Angriff selbst gestohlen wurden — es betrifft auch jeden, dessen Swap unterwegs war, jeden, dessen Rückerstattung Wochen brauchte, und jeden, dessen Folge-Wallet jetzt Outputs enthält, die eine markierte Adresse berührt haben.

Die Datenschutzgarantien von Monero — Ringsignaturen, Stealth-Adressen und Bulletproofs+ — schützen Transaktionen auf der Monero-Chain selbst. Sie schützen nicht den Moment, in dem ein Nutzer Nicht-Monero-Coins an einen Swap-Dienst übergibt, und sie machen ein Counterparty-Versagen nicht ungeschehen. Genau in dieser Lücke operieren Vorfälle wie FixedFloat. Ein Nutzer kann ein perfektes Monero-OpSec-Setup haben und trotzdem Mittel verlieren, weil der Bridge-Dienst, der seine BTC dreißig Minuten lang hielt, in einer anderen Zeitzone gerade leergeräumt wurde.

Die praktische Konsequenz: Wähle Swap-Dienste mit Bedacht. Achte auf operative Historie, Vorfallsbearbeitung und darauf, in welchem Maß ein Dienst bereit ist, sein Sicherheitsmodell zu diskutieren. Dienste, die ihr Cold-/Hot-Wallet-Verhältnis offenlegen, die Signaturinfrastruktur rotieren und während Ausfällen klar und öffentlich kommunizieren, weisen nachweislich bessere Risikoprofile auf als Dienste, die jeden Vorfall zum Mysterium erklären. MoneroSwapper etwa wurde gezielt um das Prinzip herum gebaut, dass Swap-Nutzer sich nicht zwischen Privatsphäre und operativer Transparenz entscheiden müssen — das Routing bleibt privat, aber das Verhalten der Plattform während eines Vorfalls soll laut und klar sein, nicht schweigend.

Was die Branche gelernt hat (und was nicht)

Zwei Jahre nach dem Vorfall sieht das Ökosystem der KYC-freien Swaps messbar anders aus. Mehrere Plattformen veröffentlichen inzwischen quartalsweise Proof-of-Reserves-Snapshots, einige sind auf Multi-Party-Signing mit geografisch verteilten Signern umgestiegen, und mehr Vorfälle werden zumindest von einer kurzen öffentlichen Stellungnahme begleitet. Versicherungsprodukte für Sofort-Tauschdienste gibt es, wo es zuvor keine gab — wenngleich die Deckung dünn bleibt.

Unverändert geblieben ist der strukturelle Druck auf Hot Wallets. Solange Sofort-Swaps eine Produktkategorie sind, muss irgendjemand liquide Mittel online halten und irgendjemand Transaktionen auf Abruf autorisieren. Die Angriffsfront hat sich von On-Chain-Bugs (die 2021 und 2022 dominierten) hin zur Off-Chain-Kompromittierung von Signaturinfrastruktur verschoben, die technisch viel schwerer zu verteidigen ist, weil die Schwachstelle meist organisatorisch ist. Phishing von Mitarbeitern, Supply-Chain-Angriffe auf Abhängigkeiten und Insider-Bedrohungen sind 2026 nach wie vor aktive Vektoren.

Eine wirklich positive Entwicklung gibt es: Die Engpässe in der Geldwäsche sind enger geworden. Nachdem der FixedFloat-Vorfall offenlegte, wie leicht gestohlene Mittel über andere KYC-freie Dienste gedreht werden konnten, haben die überlebenden Plattformen geteilte Sperrlisten, Einzahlungs-Screening für bekannte Angreifer-Cluster und langsamere Auszahlungen bei verdächtigen Mustern eingeführt. Das hat die Anschluss-Geldwäsche schwerer gemacht, auch wenn die ursprüngliche Angriffsfläche nicht beseitigt wurde.

FAQ

Wie viel verlor FixedFloat beim Hack im Februar 2024?

FixedFloat verlor rund 409 BTC und 1.728 ETH im Gegenwert von etwa 26 Millionen US-Dollar zum Zeitpunkt des Angriffs. Die Mittel wurden in einer Serie sauberer Transaktionen im Laufe eines Nachmittags aus den Hot Wallets der Plattform abgezogen. Ein kleinerer Folgeangriff im März 2024 fügte rund 3 Millionen US-Dollar weiteren Verlust hinzu, bevor die Börse ihre Signaturinfrastruktur austauschte.

Hat FixedFloat betroffene Nutzer entschädigt?

FixedFloat hat schließlich Rückerstattungen für die meisten Nutzer mit laufenden oder unerfüllten Orders bearbeitet, allerdings dauerte der Prozess bei vielen Kunden mehrere Wochen. Die Börse trug die Verluste aus den eigenen Reserven, anstatt sie auf die betroffenen Nutzer umzulegen — eine bedeutsame Unterscheidung, denn viele gehackte Börsen sozialisieren Verluste über die gesamte Nutzerbasis. Einige Nutzer berichteten von Teilerstattungen oder ungelösten Fällen.

Wurde der FixedFloat-Angreifer je identifiziert?

Öffentlich nicht. On-Chain-Analyse verfolgte Mittel durch mehrere Mixer und über die eXch-Plattform, doch keine Einzelperson und keine Gruppe wurde formal mit dem Angriff in Verbindung gebracht. Einige Analysten spekulierten aufgrund der Geldwäsche-Raffinesse über staatliche Akteure, andere verwiesen auf die saubere Signaturführung als Hinweis auf Insider- oder Lieferketten-Kompromittierung. FixedFloat hat seine internen Erkenntnisse nicht veröffentlicht.

Ist die Nutzung von FixedFloat 2026 sicher?

FixedFloat ist nach dem Vorfall weiter in Betrieb und soll seine Signaturinfrastruktur aufgerüstet haben. Die Entscheidung, eine KYC-freie Swap-Plattform zu nutzen, ist eine persönliche Risikoabwägung, die operative Historie, Transparenz und Trade-Größe einbeziehen sollte. Viele Nutzer streuen ihre Trades gezielt über mehrere Plattformen, um die Exposition gegenüber einem einzelnen Betreiber zu begrenzen — eine vernünftige Praxis, unabhängig von der konkreten Börse.

Wie tausche ich heute am sichersten in Monero?

Der sicherste Workflow: Nutze einen Swap-Dienst mit sauberer operativer Bilanz, sende den kleinsten praktikablen Betrag pro Transaktion, bestätige den Empfang in einem Monero-Wallet, dessen Mnemonik du selbst erzeugt hast, und schiebe die Mittel zügig in Langzeitverwahrung. MoneroSwapper ist genau um diesen Workflow herum gestaltet — minimale Datenerhebung, klare Statusmeldungen und direkte Auslieferung an eine Stealth-Adresse, die du kontrollierst. Die Kombination aus einem sorgfältigen Swap-Dienst und disziplinierter Wallet-Hygiene ergibt das stärkste praktische Resultat.

Wie unterscheidet sich das von klassischen Börsen-Hacks?

Klassische Hacks regulierter Börsen verursachen üblicherweise größere absolute Verluste, bieten aber mehr Wiederbeschaffungsoptionen über Versicherungen, regulatorischen Druck und öffentliche Post-Mortems. KYC-freie Swap-Hacks wie FixedFloat sind in Dollar kleiner, pro Nutzer aber riskanter, weil es kaum Recourse jenseits des guten Willens der Börse gibt. Der strukturelle Unterschied ist: Du tauschst rechtlichen Anspruch gegen Privatsphäre, wenn du den KYC-freien Weg wählst — und dieser Tausch sollte in dem Betrag eingepreist sein, den du über eine einzelne Plattform schickst.

Fazit

Der FixedFloat-Hack war ein klärendes Ereignis für die Kategorie der KYC-freien Swaps. Er hat keine neue Angriffsklasse erfunden und kein Risiko eingeführt, an das informierte Nutzer nicht ohnehin schon gedacht hatten. Was er getan hat: Eine versteckte Annahme an die Oberfläche zwingen — nämlich, dass die operative Disziplin einer Sofort-Tauschbörse Teil der Sicherheitsgarantie ist, und dass jede Plattform, die ihre Nutzer um dreißig Minuten Vertrauen bittet, dreißig Minuten Vertrauen besser auch wert sein sollte. Manche Plattformen reagierten auf diesen Druck mit besseren Praktiken, öffentlicher Kommunikation und nachweisbaren Verbesserungen. Andere blieben still und hofften, die Nutzer würden vergessen. Der Markt sortiert das immer noch.

Für jeden, der 2026 Monero nutzt, lautet die praktische Lehre: Wähle Swap-Dienste, die deine Zeit und deine Mittel mit dem Ernst behandeln, den der Moment verlangt, bemiss deine Trades am tatsächlichen Bedrohungsmodell und bestätige jedes Teilstück der Route in Software, die du kontrollierst. Wenn du jetzt einen Swap mit einem Dienst starten willst, der genau um diese Prinzipien herum gebaut wurde, beginne bei Monero anonym kaufen oder vergleiche aktuelle Kurse über die Quote-Engine von MoneroSwapper. Der Vorfall von 2024 liegt im Rückspiegel, aber die Lehren, die er hinterlassen hat, prägen jeden Swap, den du heute machst.

← back to blog