Atlantis Loans Bösartige Governance

Am 23. Juni 2023 erlitt das BNB-Chain-Lending-Protokoll Atlantis Loans einen Governance-Angriff, der etwa 2,5 Millionen US-Dollar von Nutzern entzog. Ein bösartiger Governance-Vorschlag — eingereicht und mit minimaler Community-Aufmerksamkeit verabschiedet — aktualisierte die Token-Verträge des Protokolls, um dem Angreifer Spending-Approval über jedes Wallet zu gewähren, das jemals mit Atlantis interagiert hatte.

Was geschah

Atlantis Loans wurde von einer On-Chain-DAO regiert, deren Vorschläge die Verträge des Protokolls modifizieren konnten. Der Angriff missbrauchte diese Governance-Macht direkt:

1. Der Angreifer erwarb genug Governance-Tokens, um einen Vorschlag einzureichen und zu verabschieden (die Governance-Beteiligung des Protokolls war gering, was die Hürde senkte).
2. Der Vorschlag — getarnt oder einfach von der kleinen aktiven Community unbeachtet — modifizierte die Verträge des Protokolls, um eine approve hinzuzufügen, die der Adresse des Angreifers eine Allowance über die Tokens jedes Nutzers gewährte, der mit Atlantis interagiert hatte.
3. Der Vorschlag wurde verabschiedet und ausgeführt durch den normalen Governance-Flow.
4. Sobald die bösartigen Approvals on-chain lebten, rief der Angreifer transferFrom gegen den Saldo jedes betroffenen Nutzers auf und entzog ~2,5 Mio. USD in Tokens.

Der Drain traf die eigenen Wallets der Nutzer, nicht nur Protokollreserven — jeder, der Atlantis jemals Token-Approvals gewährt hatte (das Standardmuster für jedes DeFi-Lending-Protokoll), war exponiert.

Folgen

• Atlantis Loans sendete dringlich an alle Nutzer, Approvals zu widerrufen auf die Protokollverträge.
• Viele Nutzer, die schnell handelten, vermieden Verlust; jene, die die Warnung nicht rechtzeitig sahen, wurden entzogen.
• Das Protokoll endete faktisch; keine sinnvolle Wiederherstellung.

Warum es wichtig ist

Atlantis Loans ist eine klare Fallstudie für Governance als Angriffsvektor gegen Nutzer, nicht nur gegen das Treasury. Die meisten Governance-Angriffs-Diskussionen fokussieren auf den Diebstahl von Protokoll-Mitteln (Beanstalk, Audius). Atlantis ist heimtückischer: Der bösartige Vorschlag entzog kein Treasury — er bewaffnete die bestehenden Token-Approvals des Protokolls gegen seine eigenen Nutzer.

Die strukturellen Lektionen:

1. Niedrig-beteiligte Governance ist eine stehende Schwachstelle. Wenn die Governance eines Protokolls von einer kleinen Token-Position verabschiedet werden kann und die aktive Community klein genug ist, dass Vorschläge ungeprüft bleiben, ist Governance faktisch ein ungeschützter Admin-Schlüssel. Die Verteidigung — Quorum-Anforderungen, Timelocks lang genug für Community-Review, Vorschlags-Inhalts-Überwachung — ist gut dokumentiert, aber ungleichmäßig angewendet, besonders bei kleineren Protokollen.

2. Governance kann die Verträge ändern, denen Nutzer zugestimmt haben. Nutzer, die einem Lending-Protokoll „unbegrenzte Approval" gewähren, vertrauen implizit nicht nur dem aktuellen Code, sondern dem, in den das Governance-System den Code ändern kann. Dies ist dieselbe Verallgemeinerung, die der Tornado-Cash-Governance-Angriff einen Monat zuvor traf: Der Code, dem du zur Zeit der Approval vertraut hast, ist nicht zwingend der Code, der laufen wird.

3. Approval-Widerruf ist die einzige nutzerseitige Verteidigung und sie ist reaktiv. Bis der bösartige Vorschlag ausgeführt wird, kann ein Nutzer nur schneller widerrufen, als der Angreifer transferFrom ausführen kann. Der strukturelle Fix — begrenzte/ablaufende Approvals — begrenzt diesen Blast-Radius, was einer der Hauptgründe ist, warum moderne Wallets darauf voreinstellen.

Atlantis Loans, Tornado Cash Governance und Beanstalk bilden zusammen die Kernillustration des Katalogs, dass On-Chain-Governance ein privilegierter Code-Änderungsmechanismus ist, und jeder privilegierte Code-Änderungsmechanismus ist eine Angriffsfläche proportional dazu, wie leicht er gekapert werden kann.