GANA Payment Smart Contract Takeover

Im November 2025 verlor die BSC-basierte DeFi-Payment-Plattform GANA Payment rund 3,1 Millionen $, als ein Angreifer die Kontrolle über den Smart Contract des Projekts übernahm — höchstwahrscheinlich durch Private-Key-Diebstahl, der einen Contract-Ownership-Transfer ermöglichte — und den Zugang nutzte, um Reward-Raten zu manipulieren und überschüssige GANA-Tokens via unstake-Funktion zu extrahieren. Der GANA-Token fiel anschließend um 90 %.

Was geschah

GANA Payment war eine zahlungsorientierte DeFi-Plattform, die Nutzern erlaubte, GANA-Tokens zu staken und Rewards zu verdienen. Der Contract war zum Zeitpunkt des Angriffs relativ neu, mit begrenztem TVL, aber einer relevanten Nutzerbasis.

Die Angriffskette, öffentlich identifiziert von ZachXBT, deutete auf eine Contract-Ownership-Übernahme hin und nicht auf einen Code-Level-Smart-Contract-Bug:

1. Der Angreifer erlangte Autorität, die Eigentümerschaft der GANA-Payment-Kern-Contracts zu übertragen — wahrscheinlich via Private-Key-Diebstahl aus der Deployer-/Operator-Wallet des Projekts.
2. Mit übernommener Eigentümerschaft manipulierte er die Reward-Rate-Parameter des Protokolls, um die pro Unstake-Operation verteilten GANA aufzublasen.
3. Rief die unstake-Funktion wiederholt auf und erhielt im Vergleich zu legitimem Nutzerverhalten überzogene GANA-Token-Rewards.
4. Swappte die frisch geminteten GANA-Reward-Tokens über DEX-Liquidität in USDC, USDT und ETH.

Die Erlöse wurden über einen mehrstufigen Pfad gewaschen:

• Rund 1 Mio. $ über Tornado Cash auf BSC geschickt.
• Den Rest nach Ethereum gebridgt.
• Rund 1 Mio. $ weiter in Tornado Cash auf Ethereum deponiert.
• 346 ETH (rund 1,05 Mio. $) verblieben zum Zeitpunkt der öffentlichen Berichterstattung in einer Ethereum-Wallet — möglicherweise zur späteren Tumbler-Wäsche gehalten.

Folgen

• Der GANA-Token-Preis fiel um rund 90 %, als der Markt die nicht sanktionierte Token-Emission einpreiste.
• Das Protokoll stellte den Betrieb faktisch ein.
• Keine öffentliche Wiederherstellung aus den Wallets des Angreifers.

Warum es wichtig ist

Der GANA-Payment-Vorfall ist einer von vielen 2025-2026-Fällen, die ein wiederkehrendes Muster teilen: DeFi-Payment-Plattformen mit Hot-Wallet-artigen Eigentumsstrukturen sind zunehmend attraktive Ziele für staatsnahe Akteure, die auf Private-Key-Diebstahl spezialisiert sind.

Die strukturelle Lektion, gut dokumentiert, aber zunehmend wichtig, da mehr „DeFi-Payments"-Projekte launchen:

1. Contract-Eigentümerschaft für Payment-Routing-Protokolle ist operativ bedeutsam, auch wenn das Projekt sich als dezentral vermarktet. Wenn ein einzelner Key Reward-Parameter ändern, zusätzliche Supply minten oder die Contract-Implementierung upgraden kann, ist dieser Key Teil des Trust-Modells des Protokolls.
2. Multi-Sig mit Timelock für Eigentums-Transfers ist eine Ein-Zeilen-Implementierung, die die meisten Key-Compromise-Szenarien abwehrt — der Angreifer bräuchte die Multi-Sig-Signaturen und müsste die Timelock-Periode abwarten, während der On-Chain-Monitore erkennen und reagieren können.
3. Reward-Rate-Parameter-Änderungen sollten Caps und Rate-Limits haben — so wie moderne Zentralbanken Rate-Change-Regeln haben, die die Geldpolitik nicht um mehr als einen definierten Betrag pro Sitzung bewegen können, wäre der GANA-Payment-Stil-Angriff begrenzt gewesen, wenn die Reward-Parameter harte Obergrenzen im Contract durchgesetzt hätten.

Die ZachXBT-getriebene Erkennung ist auch bemerkenswert: Bis Ende 2025 sind unabhängige On-Chain-Ermittler zu einer relevanten Primary-Detection-Schicht für DeFi-Vorfälle geworden — sie bringen Breaches oft ans Licht, bevor die betroffenen Projekte selbst öffentlich offenlegen. Die Dynamik ähnelt strukturell dem investigativen Journalismus — und produziert einige der gleichen Disclosure-Pace-Spannungen zwischen Ermittlern und den von ihnen abgedeckten Entitäten.