H-Token-Exploit auf kompromittierten Entwicklerrechner zurückgeführt

Das Team hinter dem Exploit des H Tokens führt den Vorfall auf einen mit Malware infizierten Entwicklerrechner zurück. Dadurch seien sieben Private Keys kompromittiert worden. Ein Angreifer konnte in der Folge die Bridge-Infrastruktur übernehmen und einen der größten Token-Zwischenfälle des Monats auslösen. Laut Post-Mortem-Bericht wurden auf Ethereum 141 Millionen H Tokens aus der Liquidität abgezogen. Nach der Übernahme administrativer Bridge-Rechte prägte der Angreifer zudem weitere 300 Millionen H Tokens auf der BNB Chain. Das Projekt betonte, es habe weder eine Schwachstelle in den Bridge-Contracts noch in den Token-Contracts oder der Multisig-Architektur gegeben. "Es gab keinen Bug in der Bridge, im Token oder im Safe", schrieb das Team. Stattdessen sei der Angriff auf ein kompromittiertes Entwicklergerät zurückzuführen, auf dem offenbar mehrere produktive Private Keys gesichert waren. Übernahme der Bridge-Administration Dem Bericht zufolge kompromittierte der Angreifer zunächst ein externes Konto (externally owned account, EOA), das mit der Bridge-Administration verknüpft war, und übernahm anschließend die ProxyAdmin-Contracts des Protokolls. Damit konnte der Angreifer die Bridge-Implementierungen upgraden, Liquidität auf Ethereum abziehen und große Mengen H Tokens auf der BNB Chain minten. Die Token-Menge auf der BNB Chain gilt dem Team zufolge inzwischen als "nicht wiederherstellbar", da der Angreifer weiterhin zentrale Bridge-Berechtigungen kontrolliert, die an die kompromittierte Infrastruktur gebunden sind. Aus einem Private-Key-Leak wurde so faktisch eine vollständige Übernahme der Bridge-Administration. Bericht sieht operatives Sicherheitsversagen Anders als viele DeFi-Exploits, die auf Smart-Contract-Bugs oder Logikfehler zurückgehen, wird der H-Vorfall vor allem als Problem der operativen Sicherheit eingestuft. Ein einzelner mit Malware infizierter Rechner habe sieben produktive Schlüssel offengelegt, die für Bridge- und Administrationssysteme genutzt wurden. Der Angreifer konnte damit mit legitimen Berechtigungen agieren, statt Protokollschutzmechanismen direkt zu umgehen. Der Fall verstärkt die branchenweiten Sorgen, dass dezentrale Systeme trotz Onchain-Sicherheit scheitern können, wenn Private-Key-Management und Endpoint-Security faktisch zentralisiert bleiben. Zusätzliche Debatte in sozialen Medien Der Vorfall löste zudem Diskussionen in der Krypto-Community aus. Onchain-Ermittler ZachXBT stellte zunächst Fragen zur Marketmaking- und OTC-Aktivität des Projekts, stellte später aber klar, dass der Exploit selbst offenbar nicht damit zusammenhing. In mehreren Beiträgen verwies ZachXBT auf aktive Marketmaking-Vereinbarungen und Token-Promotion rund um das Projekt, erklärte nach weiterer Analyse jedoch, der "Private-Key-Compromise" und auffällige "MM-/OTC"-Aktivitäten wirkten "unabhängig voneinander und nicht miteinander verbunden". Die Kommentare spiegelten die Skepsis im Markt wider, während Händler versuchten einzuordnen, ob hinter dem Exploit Insider-Aktivitäten oder ein tatsächlicher Infrastrukturkompromiss standen. Kurzfazit Der H-Token-Exploit wurde auf einen mit Malware infizierten Entwicklerrechner zurückgeführt, der sieben für die Bridge-Administration genutzte Private Keys preisgab. ZachXBT stellte später klar, dass separate Bedenken zu Marketmaking- und OTC-Aktivitäten nicht unmittelbar mit dem Private-Key-Leak verknüpft seien.