Konto bei Bitvavo eröffnen und 15 XRP gratis sichern
Bitvavo: Jetzt 15 XRP
Bonus sichern
Das Kryptoprojekt Token of Power (TOP) ist Opfer eines groß angelegten Governance-Angriffs geworden. Dabei hat ein Hacker Ethereum im Wert von rund 1,58 Millionen Dollar erbeutet. Durch die Kontrolle über das Abstimmungssystem des Protokolls konnte der Angreifer Milliarden neuer TOP-Token generieren und diese sofort in Ethereum umwandeln.
Das Blockchain-Sicherheitsunternehmen Blockaid hat den Angriff entdeckt und berichtet, dass etwa 944 Wrapped Ethereum (WETH) aus einem Liquiditätspool entnommen wurden. Nach aktuellem Marktwert entspricht dies rund 1,58 Millionen Dollar.
Ein schwach ausgestaltetes Governance-System ermöglichte den Angriff. Dieses bestimmt, wie Entscheidungen innerhalb eines Kryptoprojekts getroffen werden. Token-Inhaber können dabei über Vorschläge abstimmen, die das Protokoll beeinflussen.
Laut Blockaid waren bei TOP lediglich 16.384 Token im Umlauf. Der Angreifer konnte 8.192 davon sammeln und erhielt somit mehr als 50 Prozent der Stimmrechte. De facto übernahm er damit die Kontrolle über die Governance des Protokolls.
Normalerweise enthalten solche Systeme zusätzliche Sicherheitsmaßnahmen, die verhindern, dass Vorschläge sofort umgesetzt werden. Bei Token of Power fehlten diese Maßnahmen jedoch. Dadurch konnte der Angreifer in einer einzigen Transaktion einen Vorschlag einreichen, genehmigen und ausführen.
Nachdem der Hacker die Kontrolle erlangt hatte, aktivierte er eine Funktion zur Erstellung neuer TOP-Token. Insgesamt wurden 10 Milliarden dieser Token generiert und in die Wallet des Angreifers transferiert.
Diese neuen Token wurden anschließend über den TOP/WETH-Liquiditätspool auf Balancer verkauft. Dadurch wurde nahezu das gesamte verfügbare Ethereum aus dem Pool entzogen.
Balancer selbst war nicht Ziel des Angriffs. Den Forschern zufolge wurde keine Sicherheitslücke im Handelsprotokoll gefunden. Die Ursache lag vollständig in der Governance-Struktur von Token of Power.
Blockchain-Sicherheitsunternehmen BlockSec berichtet, dass der Angreifer im Vorfeld etwa 662 WETH investieren musste, um genügend TOP-Token zu sammeln und die Stimmrechtsmehrheit zu erlangen. Obwohl letztlich etwa 944 WETH aus dem Liquiditätspool entnommen wurden, liegt der geschätzte Nettogewinn daher bei rund 282 WETH.
Der On-Chain-Forscher 0xsadikbaba meldet, dass während des Angriffs mehrere große Transaktionen über Balancer durchgeführt wurden, wodurch letztlich etwa 945 ETH aus dem Liquiditätspool verschwanden.
Nach dem Angriff wurden die gestohlenen Gelder schnell über Tornado Cash bewegt, einen Privacy-Dienst, der es erschwert, Krypto-Transaktionen nachzuverfolgen. Laut Forschern wurden innerhalb von etwa einer Stunde mehrere Einzahlungen vorgenommen, darunter Transaktionen von 100 und 10 ETH. Am Ende dieser Serie war die Wallet des Angreifers nahezu leer.
Der Angriff auf Token of Power verschärft die Bedenken hinsichtlich der Sicherheit von Governance-Systemen im DeFi-Sektor. Insbesondere kleinere Projekte sind gefährdet, wenn eine geringe Anzahl an Token ausreicht, um die Kontrolle über ein Protokoll zu erlangen.
BlockSec fordert Projekte, die Governance-Frameworks wie Aragon nutzen, dazu auf, ihre Sicherheitsmaßnahmen neu zu evaluieren. Dabei sollten insbesondere die Stimmrechte, Quorum-Anforderungen, Befugnisse zur Erstellung neuer Token und andere Schutzmechanismen überprüft werden.
Sicherheitsexperten weisen zudem auf die Bedeutung sogenannter Time-Locks hin. Diese eingebauten Verzögerungen verhindern, dass Vorschläge sofort ausgeführt werden können, und geben den Nutzern die Möglichkeit, verdächtige Änderungen rechtzeitig zu erkennen.
Der Vorfall zeigt, dass Fehler in der Governance eines Krypto-Projekts, selbst ohne technische Sicherheitslücke in zugrunde liegenden Protokollen wie Balancer, zu Millionenverlusten für Investoren und Liquiditätsanbieter führen können.
Irische Behörden sichern 1.500 Bitcoin aus verloren geglaubten Wallets eines Drogenhändlers und werfen damit neue Fragen zu Private Keys auf.
Laut der veröffentlichten Anklageschrift begann der Cyberangriff im Mai 2025 mit Social Engineering.
Polymarket ist Opfer eines Cyberangriffs geworden. Angreifer nutzten eine Sicherheitslücke bei einem externen Anbieter, um eine Phishingattacke durchzuführen.
KI-Modelle prognostizieren weitere Schwäche für XRP. Große Abverkäufe durch Wale und sinkende Aktivität belasten den Kurs erheblich.
Viele XRP-Halter ziehen ihre Coins von der Kryptobörse Binance in eigene Wallets ab. Kann das dem Kurs neuen Schwung geben?
Das KI-Modell ChatGPT schätzt die Wahrscheinlichkeit für einen XRP-Kurs von 20 Dollar im Jahr 2030 als gering ein. Die mittlere Prognose liegt deutlich niedriger.