Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 198Smart-Contract-Bug

Holograph Operator-Mint

Ein Fehler in Holographs Operator-Contract ließ einen Angreifer 1 Milliarde HLG-Tokens minten, nominal 14,4 Mio. $ wert. HLG fiel in neun Stunden um 80 %.

Datum
Opfer
Holograph
Chain(s)
Ethereum
Status
Mittel entwendet

Am 13. Juni 2024 um 09:47 UTC begann ein unbekannter Angreifer, durch Ausnutzung einer Schwachstelle im Operator-Smart-Contract von Holograph 1 Milliarde HLG-Tokens zu minten. Der Mint geschah über neun sequenzielle Transaktionen; das frisch geminte HLG war zum Zeitpunkt des ersten Mints rund 14,4 Millionen $ wert. Innerhalb von neun Stunden nach Sichtbarwerden des Exploits fiel der HLG-Token um rund 80 %, als der Markt die Verwässerung einpreiste.

Was geschah

Holograph war eine Multi-Chain-Tokenisierungsplattform. Sein Operator-Contract wickelte Minting-Operationen über Deployments hinweg ab — eine privilegierte Fläche, die hinter strikter Access Control hätte stehen müssen.

Der genaue technische Vektor wurde in den Incident-Disclosures des Teams nie vollständig detailliert, aber das On-Chain-Muster war einfach: Der Angreifer entdeckte einen Pfad, über den der Operator-Contract HLG-Tokens an ein vom Angreifer angegebenes Ziel ohne ordentliche Autorisierung minten würde. Der Angreifer übte diesen Pfad neunmal aus und mintete insgesamt 1 Milliarde HLG an von ihm kontrollierte Adressen.

Rund vier Stunden nach dem initialen Exploit begann der Angreifer, das geminte HLG über DEX-Aggregatoren in USDT zu swappen. Rund 1,3 Mio. $ in USDT wurden erfolgreich ausgezahlt, bevor die Liquidität versiegte; die Erlöse wurden weiter in rund 300 ETH umgewandelt und auf vier Adressen zur Geldwäsche verteilt.

Folgen

  • HLG fiel von rund 0,0149 $ auf rund 0,00296 $ intraday (80 %-Rückgang) und erholte sich binnen 24 Stunden teilweise auf rund 0,00646 $, als das Team Remediation bestätigte.
  • Holograph patchte den Operator-Contract und arbeitete mit großen Börsen daran, betroffene Konten einzufrieren, die geminetes HLG erhalten hatten.
  • Das Team startete ein Entschädigungs- und Erstattungsprogramm für betroffene Nutzer — auch wenn der dilutionsgetriebene Preiskollaps bedeutete, dass selbst erstattete Nutzer reale Verluste auf ihren Vor-Vorfall-Beständen absorbierten.

Warum es wichtig ist

Holograph folgt dem Muster der Mint-then-Dump-Attacke, das immer wiederkehrt, wenn ein Protokoll einen Pfad zur Supply seines eigenen nativen Tokens ohne ausreichende Access Control freilegt:

  • PlayDapp (Feb. 2024) — gestohlener Admin-Key mintete 1,79 Mrd. PLA.
  • Gala Games (Mai 2024) — dormante MINTER-Rolle mintete 5 Mrd. GALA.
  • Holograph (Juni 2024) — Operator-Contract-Schwachstelle mintete 1 Mrd. HLG.

Die defensive Antwort ist konsistent: Token-Contract von jedem operativen Contract trennen, alle Mint-Autorität hinter Multi-Sig mit Timelocks gaten und jede Adresse mit mint()-Fähigkeit als privilegierte Identität betrachten, die aggressives Monitoring wert ist. Holographs Vorfall, drei Monate nach PlayDapp und einen Monat nach Gala, deutete darauf hin, dass die Lektion noch in Echtzeit gelernt wurde.

Quellen & On-Chain-Belege

  1. [01]coinspeaker.comhttps://www.coinspeaker.com/holograph-plummets-hacker-1b-hlg/
  2. [02]news.bitcoin.comhttps://news.bitcoin.com/holograph-compromised-hlg-value-plummets-as-hacker-illegally-mints-1-billion-tokens/
  3. [03]bleepingcomputer.comhttps://www.bleepingcomputer.com/news/legal/hackers-linked-to-14m-holograph-crypto-heist-arrested-in-italy/

Verwandte Einträge