Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 209Phishing / Social Engineering

Banana Gun Telegram Oracle-Drain

Telegram-Message-Oracle-Fehler ließ Angreifer 3 Mio. USD von 11 Banana-Gun-Nutzern über manuelle Transfers entziehen. Team entschädigte aus Treasury.

Datum
Opfer
Banana Gun users
Chain(s)
Ethereum
Status
Zurückerlangt

Am 19. September 2024 erlitt der populäre Telegram-basierte Krypto-Trading-Bot Banana Gun einen hochgradig zielgerichteten Exploit, der etwa 3 Millionen US-Dollar aus 11 Nutzer-Wallets entzog — die meisten davon erfahrene „Smart Money"-Trader. Die Angreifer nutzten eine Schwachstelle im Telegram-Message-Oracle aus, den der Bot zur Validierung von Nutzerbefehlen verwendete. Banana Gun entschädigte betroffene Nutzer vollständig aus dem Unternehmens-Treasury.

Was geschah

Banana Gun war im September 2024 einer der größeren Telegram-basierten DeFi-Trading-Bots, mit über 6,3 Milliarden US-Dollar an Handelsvolumen bei nahezu 279.000 Nutzern. Der Bot operierte:

  1. Empfang von Nutzerbefehlen über Telegram-Chat (kaufe diesen Token, verkaufe jenen usw.).
  2. Verifikation des Befehls über Telegrams API.
  3. Ausführung der entsprechenden On-Chain-Transaktion aus dem bot-verwalteten Wallet eines Nutzers.

Der Angriff nutzte den zweiten Schritt aus. Der Telegram-Message-Oracle — der Mechanismus des Bots zum Beweis von „dieser Befehl kam vom legitimen Telegram-Nutzer" — hatte eine Schwachstelle, die es dem Angreifer erlaubte, manipulierte Nachrichten einzuschleusen, die der Bot als legitime Transferbefehle vom Opfer interpretierte, obwohl das Opfer sie nicht gesendet hatte.

Die Zielauswahl war markant:

  • 11 Opfer, meist erfahrene Trader — keine zufälligen Nutzer. Der Angreifer hatte die Nutzerbasis des Bots eindeutig profiliert und hochwertige Ziele ausgewählt.
  • Manuelle Transfers statt automatisierter Drains — jeder Angriff erforderte spezifische Nachrichtenkonstruktion pro Opfer, was eher auf Handarbeit als auf ein generisches Exploit-Skript hinweist.

Gesamt extrahiert: ~3 Mio. USD, hauptsächlich in ETH und Major Tokens, die in den Banana-Gun-verwalteten Wallets der Opfer gehalten wurden.

Folgen

  • Banana Gun pausierte sowohl EVM- als auch Solana-Bot-Operationen innerhalb von Stunden.
  • Das Team verpflichtete sich öffentlich zu vollständigen Erstattungen für alle betroffenen Nutzer aus Treasury-Reserven, mit der expliziten Anmerkung, dass keine BANANA-Tokens zur Finanzierung der Erstattung verkauft würden (was Token-Halter getroffen hätte).
  • Operationen wurden mit hinzugefügter 6-Stunden-Transferverzögerung für ausgehende Transaktionen wieder aufgenommen — ein Circuit Breaker, der dem Bot oder seinen Nutzern Zeit geben soll, anomales Verhalten zu erkennen, bevor Mittel das Wallet verlassen.
  • Der BANANA-Token-Preis stieg um 7% bei der Erstattungsankündigung, was Marktvertrauen in die Reaktion des Teams widerspiegelt.

Warum es wichtig ist

Der Banana-Gun-Vorfall ist eine Fallstudie für die aufkommende Risikoklasse der Telegram-Trading-Bots — Produkte, die bis 2024-2026 zu Multi-Milliarden-Dollar-Handelsvolumen gewachsen sind, deren Sicherheitsmodelle aber abhängen von:

  • Telegrams Authentifizierung und API-Integrität (der Bot kann den Nutzer nicht wirklich über das hinaus verifizieren, was Telegram ihm sagt).
  • Der Wallet-Management-Infrastruktur des Bot-Betreibers (oft Hot-Wallet-artige Schlüsselverwahrung für schnellen Handel).
  • Der eigenen Codequalität des Bots (oft schnell geschrieben und aktualisiert, um mit der Memecoin-Trading-Nachfrage Schritt zu halten).

Wenn eine dieser drei Schichten kompromittiert wird, sind Nutzerfunds exponiert. Banana Guns spezifische Schwachstelle lag in der Oracle-Schicht; ähnliche Bots haben in kleinerem Maßstab Probleme auf anderen Schichten erlitten.

Die strukturellen Lektionen:

  1. Trading-Bot-Custody ist eine bedeutsame Asset-Klasse im Bedrohungsmodell — unterscheidbar von Self-Custody, unterscheidbar von Börsen-Custody, mit eigenen einzigartigen Schwachstellen.
  2. Zielgerichtete „Smart Money"-Angriffe lohnen sich zunehmend, wenn Angreifer hochwertige Nutzer identifizieren können — dieselbe Inferno-Drainer-artige Profilierung, die das Whale Hunter's Payday-Opfer traf, gilt hier.
  3. 6-Stunden-Transferverzögerungen sind ein bedeutsamer UX/Sicherheits-Trade-off — sie reduzieren das Angriffsfenster-zu-Exploit-Zeit, verlangsamen aber legitime Nutzeroperationen. Die meisten Nutzer werden den Trade-off nach einem Vorfall akzeptieren; die Frage ist, ob der Bot mit der Verzögerung vor oder nach dem ersten Vorfall ausgeliefert wird.

Banana Guns Reaktion — schnelle Pause, vollständige Erstattung, sofortige UX-Härtung — setzte einen glaubwürdigen Maßstab dafür, wie ein Telegram-Bot-Betreiber einen Sicherheitsvorfall dieser Größenordnung handhaben sollte.

Quellen & On-Chain-Belege

  1. [01]cryptonews.comhttps://cryptonews.com/news/telegram-bot-banana-gun-to-refund-3-million-hack-victims/
  2. [02]quillaudits.comhttps://www.quillaudits.com/blog/hack-analysis/banana-gun-exploit
  3. [03]bravenewcoin.comhttps://bravenewcoin.com/insights/telegram-bot-banana-commits-to-covering-us3-million-lost-in-hack

Verwandte Einträge