Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 163Smart-Contract-Bug

Stars Arena SocialFi-Drain

2,9 Mio. $ aus Stars Arena, einer Avalanche-SocialFi-App im friend.tech-Stil, abgezogen über einen Fehler in der Anteilspreis-/Auszahlungslogik.

Datum
Opfer
Stars Arena
Chain(s)
Avalanche
Status
Teilweise zurückerlangt

Am 7. Oktober 2023 wurde Stars Arena — eine Avalanche-basierte SocialFi-Anwendung im friend.tech-Stil — um rund 2,9 Millionen Dollar geleert durch einen Fehler in der Anteilspreis-/Auszahlungslogik seines Smart Contracts. Der Exploit landete auf dem Höhepunkt des Spätjahr-2023-„SocialFi"-Hype-Zyklus, als friend.tech und seine Klone signifikantes spekulatives Kapital anzogen.

Was geschah

Stars Arena, wie friend.tech, ließ Nutzer „Shares" (oder „Tickets") anderer Nutzer entlang einer Bonding Curve kaufen und verkaufen — der Kauf von Creator-Shares kostete mehr, je mehr gekauft wurden, und Inhaber verdienten Gebühren. Das Protokoll hielt erhebliche AVAX als Sicherheit hinter allen Share-Positionen.

Der Exploit zielte auf die Anteilspreis-/Auszahlungs-Buchhaltung. Der spezifische Fehler ließ den Angreifer weit mehr AVAX abheben, als seine Share-Position rechtfertigte — eine Bug-Klasse, die endemisch in schnell geklonten Bonding-Curve-Verträgen ist, in denen Kauf-/Verkaufspreis-Mathematik und Sicherheitsbuchhaltung nicht rigoros synchron gehalten werden.

Der Angreifer entzog rund 2,9 Mio. $ in AVAX — den Großteil der Sicherheit des Protokolls hinter allen Share-Positionen der Nutzer.

Nachwirkungen

  • Stars Arena pausierte den Vertrag und bestätigte die Lücke.
  • Das Team verhandelte mit dem Angreifer und gewann einen signifikanten Teil der Mittel zurück (die zunehmend Standard gewordene „Exploit, verhandle, teilweise Rückgabe gegen Bounty"-Lösung).
  • Stars Arena startete mit einem auditierten Vertrag neu, aber der SocialFi-Hype-Zyklus war zu diesem Zeitpunkt weitgehend vorbei.

Warum es zählt

Stars Arena ist ein repräsentativer Eintrag in der Fehlerkategorie schneller Klon eines gehypten Primitivs. Das friend.tech-Modell war neu und zog Aufmerksamkeit an; zahlreiche Klone (Stars Arena, andere) wurden schnell ausgeliefert, um den spekulativen Flow einzufangen. Time-to-Market schlug Security-Review, und die Bonding-Curve-+-Sicherheitsbuchhaltungs-Mathematik — die trügerisch leicht subtil falsch zu machen ist — war der vorhersehbare Fehlerpunkt.

Das strukturelle Muster wiederholt sich in jedem Hype-Zyklus:

  • 2020 Yield-Farming: schnelle Compound/Curve-Forks → Reentrancy, Donation Attacks.
  • 2021 DeFi 2.0 / OlympusDAO-Forks: → Mechanismus-Fehler der Snowdog-Klasse.
  • 2023 SocialFi / friend.tech-Klone: → Bonding-Curve-Buchhaltungs-Bugs der Stars-Arena-Klasse.
  • 2024-2026 Restaking / LRT / Points: → die neueste Front derselben Dynamik.

Die Meta-Lehre: Welches Primitiv auch immer gerade gehypt wird, schnelle Klone davon werden mit subtil falscher Buchhaltung ausgeliefert, und das spekulative Kapital, das den Hype jagt, wird die Sicherheit sein, die geleert wird. Stars Arena ist eine saubere Instanz; das Muster ist ewig, und der defensive Ratschlag — kein nennenswertes Kapital in einen Tage-alten Fork eines Wochen-alten Primitivs einzahlen — wird ewig ignoriert, weil der Upside des Hype-Zyklus kurzfristig real ist.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-stars-arena-hack-october-2023
  2. [02]crypto.newshttps://crypto.news/avalanche-based-stars-arena-quells-coordinated-fud-after-patching-exploit/
  3. [03]rekt.newshttps://rekt.news/stars-arena-rekt

Verwandte Einträge