SagaEVM Ethermint Mint-Bypass

Am 20. Januar 2026 stoppte die Web3-Infrastruktur-Plattform Saga ihre SagaEVM-Chain, nachdem ein Angreifer etwa 7 Millionen $ in ETH, USDC, yUSD und tBTC durch eine Ethermint-EVM-Schwachstelle abgezogen hatte. Der Angreifer mintete den Stablecoin des Projekts, Saga Dollar (D), ohne Sicherheit, bridgete die Erlöse zu Ethereum und konvertierte sie in über 2.000 ETH plus Uniswap-V4-Liquiditätspositionen. Der gesamte Angriff lief in etwa 11 Minuten.

Was geschah

SagaEVM war Sagas Ethermint-basierte EVM-Chain, entworfen, um einzelnen Anwendungsentwicklern ihre eigene "Chainlet" zu geben — eine dedizierte EVM-Instanz mit benutzerdefinierter Tokenomics. Die Chain verwendete Ethermint als ihre EVM-Implementierung, denselben Cosmos-SDK-EVM-Stack, der von mehreren anderen Cosmos-Ökosystem-Chains verwendet wird.

Die Schwachstelle lebte in der Nachrichtenvalidierung der Ethermint-EVM — speziell darin, wie die Chain benutzerdefinierte Nachrichten verarbeitete, die durch die EVM-Schicht geroutet wurden. Der Angreifer entdeckte, dass er benutzerdefinierte Nachrichten gestalten konnte, die die erwartete Validierung umgingen und die Stablecoin-Mint-Logik des Protokolls mit angreiferkontrollierten Inputs erreichten.

Der Angriff:

1. Identifizierte die Nachrichtenvalidierungs-Lücke in der SagaEVM-Ethermint-Konfiguration.
2. Gestaltete bösartige Nachrichten, die die Chain als legitim verarbeitete, aber die angreiferkontrollierte Mint-Parameter enthielten.
3. Mintete Saga Dollar (D) — den Stablecoin der Chain — ohne die entsprechende Sicherheit einzuzahlen.
4. Bridgete die frisch geminteten D-Tokens zu Ethereum innerhalb desselben 11-Minuten-Fensters, bevor Verteidigungsmaßnahmen ergriffen werden konnten.
5. Konvertierte die gebridgeten Vermögenswerte in 2.000+ ETH (~6 Mio. $+ zur damaligen Zeit) und ~800.000 $ in Uniswap-V4-Liquiditätspositionen.

Folgen

• Saga pausierte die SagaEVM-Chain innerhalb von Minuten nach der Erkennung.
• Das Team identifizierte das Wallet des Angreifers öffentlich und begann mit Koordination mit Börsen und Bridge-Betreibern, um markierte Adressen einzufrieren.
• SagaEVMs TVL fiel von 37 Mio. $ auf ~16 Mio. $, als Nutzer beim Chain-Neustart abhoben.
• Das Team koordinierte mit der breiteren Cosmos-/Ethermint-Sicherheits-Community zur zugrundeliegenden Schwachstellen-Offenlegung.
• Keine öffentliche Wiederherstellung; Mittel wurden über Tornado Cash und DEX-Aggregatoren gewaschen.

Warum es wichtig ist

Der SagaEVM-Vorfall ist einer von mehreren Fällen in 2025-2026, die geteilten-Codebasis-Risiko im Cosmos-SDK-/Ethermint-Ökosystem hervorheben. Wenn mehrere Chains dieselbe EVM-Implementierung übernehmen, gilt eine Schwachstelle in dieser Implementierung automatisch für jede Chain, die sie verwendet — und die Patch-Koordination über unabhängige Chain-Betreiber hinweg ist langsamer als ein Single-Codebase-Fix.

Die strukturellen Lehren:

1. EVM-Implementierungen variieren auf subtile, aber sicherheitskritische Weise. Ethermint, Polygons Bor, BSCs Geth-Fork, OP Stack, Arbitrums Nitro — jeder hat seine eigenen benutzerdefinierten Ergänzungen, die Angriffsfläche jenseits des kanonischen go-ethereum einführen.
2. Nachrichtenvalidierung in Alt-EVMs ist eine wiederkehrende Schwachstellen-Kategorie, weil die Validierungslogik oft modifiziert wird, um chain-spezifische Nachrichten-Typen (wie Sagas Stablecoin-Minting) zu unterstützen, die die Upstream-EVM nicht antizipiert.
3. Das 11-Minuten-Angriffsfenster demonstriert, dass Chain-Level-Notfallreaktion jetzt auf Minuten-Zeitskalen operieren muss, nicht Stunden- oder Tag-Zeitskalen. Validator-Koordinationsprotokolle, die länger dauern, sind zunehmend unzureichend für Chains mit hohem-Wert-am-Stake.

Sagas Reaktion — schnelle Pause, öffentliche Zuschreibung, Ökosystem-Koordination — war für die Verlustgröße glaubwürdig, aber die Reputationsauswirkung der Chain war erheblich, angesichts ihrer frühen Position im Chainlet-Launch-Markt.