Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 179Kompromittierung privater Schlüssel

PlayDapp Mint-Exploit

Gestohlener Admin-Schlüssel erlaubte Selbst-Hinzufügung als Minter und 1,79 Mrd. PLA — nominell 290 Mio. $, nur 32 Mio. ausgezahlt.

Datum
Opfer
PlayDapp
Chain(s)
Ethereum
Status
Teilweise zurückerlangt

Zwischen dem 9. und 12. Februar 2024 mintete ein Angreifer 1,79 Milliarden PLA-Tokens auf der PlayDapp-Gaming-Plattform — ein nominelles 290 Millionen $ zu den damaligen Preisen. PLA war die plattforminterne Währung eines koreanischen Web3-Gaming-Ökosystems.

Was geschah

Der Angreifer nutzte keinen Logik-Bug aus — er stahl einen Admin-Schlüssel, der die privilegierten Funktionen des PLA-Token-Vertrags kontrollierte. Mit diesem Schlüssel:

  1. Fügte sich selbst als Minter hinzu und gewährte seiner eigenen Adresse die Befugnis, neue PLA zu erstellen.
  2. Entzog bestehenden Administratoren ihre Berechtigungen und schloss das legitime Team aus.
  3. Mintete 200 Millionen PLA (~36,5 Mio. $) im ersten Angriff am 9. Februar.
  4. Kehrte drei Tage später zurück und mintete weitere 1,59 Milliarden PLA (~253,9 Mio. $) am 12. Februar.

Folgen

  • Der Angreifer schaffte es nur, etwa 32 Millionen $ der gestohlenen Tokens in andere Vermögenswerte umzuwandeln, bevor Börsen verbundene Adressen einfroren; der Rest saß in seiner Wallet als Verwässerung, die PLAs Wert zerstörte, statt ihm Bargeld zu bringen.
  • PlayDapp pausierte den PLA-Vertrag und kündigte eine Migration zu einem neuen "PDA"-Token mit Multi-Signature-Kontrollen an. Bestehende Halter erhielten PDA zu einem festen Verhältnis; die geminteten PLA des Angreifers wurden effektiv für ungültig erklärt.
  • Der Verlust für legitime PLA-Halter war real: Marktkapitalisierung kollabierte während des Vorfalls.

Warum es wichtig ist

Ein einziger privilegierter Schlüssel auf einem nicht aktualisierbaren Vertrag kann schlimmer sein als ein aktualisierbarer Vertrag — weil es keinen Mechanismus gibt, eine gestohlene Autorität zu widerrufen, außer einer harten Migration. Die meisten 2024 und 2025 ausgegebenen Tokens werden mit nach dem Launch aufgegebener Mint-Autorität ausgeliefert oder hinter einem Safe-Multi-Sig mit Timelock gesperrt.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-playdapp-hack-february-2024
  2. [02]immunebytes.comhttps://immunebytes.com/blog/playdapp-exploit-feb-9th-12th-2024-detailed-analysis-report/
  3. [03]playdapp.medium.comhttps://playdapp.medium.com/playdapp-post-mortem-on-the-hacking-incident-361b4ddfb5a1

Verwandte Einträge