Das Kryptoprojekt Token of Power (TOP) ist Opfer eines groß angelegten Governance-Angriffs geworden. Dabei hat ein Hacker Ethereum im Wert von rund 1,58 Millionen Dollar erbeutet. Durch die Kontrolle über das Abstimmungssystem des Protokolls konnte der Angreifer Milliarden neuer TOP-Token generieren und diese sofort in Ethereum umwandeln.
Das Blockchain-Sicherheitsunternehmen Blockaid hat den Angriff entdeckt und berichtet, dass etwa 944 Wrapped Ethereum (WETH) aus einem Liquiditätspool entnommen wurden. Nach aktuellem Marktwert entspricht dies rund 1,58 Millionen Dollar.
Ein schwach ausgestaltetes Governance-System ermöglichte den Angriff. Dieses bestimmt, wie Entscheidungen innerhalb eines Kryptoprojekts getroffen werden. Token-Inhaber können dabei über Vorschläge abstimmen, die das Protokoll beeinflussen.
Laut Blockaid waren bei TOP lediglich 16.384 Token im Umlauf. Der Angreifer konnte 8.192 davon sammeln und erhielt somit mehr als 50 Prozent der Stimmrechte. De facto übernahm er damit die Kontrolle über die Governance des Protokolls.
Normalerweise enthalten solche Systeme zusätzliche Sicherheitsmaßnahmen, die verhindern, dass Vorschläge sofort umgesetzt werden. Bei Token of Power fehlten diese Maßnahmen jedoch. Dadurch konnte der Angreifer in einer einzigen Transaktion einen Vorschlag einreichen, genehmigen und ausführen.
Nachdem der Hacker die Kontrolle erlangt hatte, aktivierte er eine Funktion zur Erstellung neuer TOP-Token. Insgesamt wurden 10 Milliarden dieser Token generiert und in die Wallet des Angreifers transferiert.
Diese neuen Token wurden anschließend über den TOP/WETH-Liquiditätspool auf Balancer verkauft. Dadurch wurde nahezu das gesamte verfügbare Ethereum aus dem Pool entzogen.
Balancer selbst war nicht Ziel des Angriffs. Den Forschern zufolge wurde keine Sicherheitslücke im Handelsprotokoll gefunden. Die Ursache lag vollständig in der Governance-Struktur von Token of Power.
Blockchain-Sicherheitsunternehmen BlockSec berichtet, dass der Angreifer im Vorfeld etwa 662 WETH investieren musste, um genügend TOP-Token zu sammeln und die Stimmrechtsmehrheit zu erlangen. Obwohl letztlich etwa 944 WETH aus dem Liquiditätspool entnommen wurden, liegt der geschätzte Nettogewinn daher bei rund 282 WETH.
Der On-Chain-Forscher 0xsadikbaba meldet, dass während des Angriffs mehrere große Transaktionen über Balancer durchgeführt wurden, wodurch letztlich etwa 945 ETH aus dem Liquiditätspool verschwanden.
Nach dem Angriff wurden die gestohlenen Gelder schnell über Tornado Cash bewegt, einen Privacy-Dienst, der es erschwert, Krypto-Transaktionen nachzuverfolgen. Laut Forschern wurden innerhalb von etwa einer Stunde mehrere Einzahlungen vorgenommen, darunter Transaktionen von 100 und 10 ETH. Am Ende dieser Serie war die Wallet des Angreifers nahezu leer.
Der Angriff auf Token of Power verschärft die Bedenken hinsichtlich der Sicherheit von Governance-Systemen im DeFi-Sektor. Insbesondere kleinere Projekte sind gefährdet, wenn eine geringe Anzahl an Token ausreicht, um die Kontrolle über ein Protokoll zu erlangen.
BlockSec fordert Projekte, die Governance-Frameworks wie Aragon nutzen, dazu auf, ihre Sicherheitsmaßnahmen neu zu evaluieren. Dabei sollten insbesondere die Stimmrechte, Quorum-Anforderungen, Befugnisse zur Erstellung neuer Token und andere Schutzmechanismen überprüft werden.
Sicherheitsexperten weisen zudem auf die Bedeutung sogenannter Time-Locks hin. Diese eingebauten Verzögerungen verhindern, dass Vorschläge sofort ausgeführt werden können, und geben den Nutzern die Möglichkeit, verdächtige Änderungen rechtzeitig zu erkennen.
Der Vorfall zeigt, dass Fehler in der Governance eines Krypto-Projekts, selbst ohne technische Sicherheitslücke in zugrunde liegenden Protokollen wie Balancer, zu Millionenverlusten für Investoren und Liquiditätsanbieter führen können.
Fans der FIFA-Weltmeisterschaft 2026 sollten auf zunehmende Online-Betrugsmaschen achten.
Das Kryptoprojekt Humanity Protocol wurde von einem großen Hack getroffen, bei dem digitale Vermögenswerte im Wert von über 36 Millionen Dollar gestohlen wurden.
Cyberkriminelle nutzen immer öfter künstliche Intelligenz für Cyberangriffe. Dies geht aus einer neuen Studie des KI-Unternehmens Anthropic hervor.
XRP-Investoren verkaufen zunehmend mit Verlust, ein Signal, das laut On-Chain-Daten häufig in der Nähe von Tiefpunkten auftritt.
Der Bitcoin-Kurs ist um mehrere Prozent gesunken nach dem Verkauf von Strategy und sehr schlechten Nachrichten über den Iran-Krieg. Das ist wichtig zu wissen.
Generationsübergreifende Vermögensübertragungen, Zuflüsse von Pensionsfonds und instabile Fiat-Währungen werden laut Wood den Bitcoin-Kurs in die Höhe treiben.
