Bitget App
Trade smarter
Krypto kaufenMärkteTradenFuturesEarnPlazaMehr
Chainlink-Callback-Exploit trifft TokenWorks, CryptoPunk geht verloren

Chainlink-Callback-Exploit trifft TokenWorks, CryptoPunk geht verloren

CryptomondayCryptomonday2026/07/06 04:12
Von:Cryptomonday

Eine Sicherheitslücke im „Fake World Assets“ (FWA)-Protokoll von TokenWorks hat es einem Angreifer ermöglicht, einen NFT-Kauf zu manipulieren, woraufhin das Team den Handel ausgesetzt und den Besitzer des betroffenen Assets entschädigt hat.

Laut Adam, dem Gründer von TokenWorks, bestand der Angriff darin, einen Chainlink-Callback vorwegzunehmen, der bestimmte, welches NFT aus einer gepoolten Sammlung ausgewählt werden sollte. Zwar war die von Chainlink selbst erzeugte Zufälligkeit nicht beeinträchtigt, doch der Angreifer soll den Status des Protokolls verändert haben, bevor der Callback abgeschlossen war, wodurch die Auswahl auf CryptoPunk #5450 fiel – das wertvollste NFT im Pool.

Anscheinend gab es eine Möglichkeit, den Chainlink-Callback vorwegzunehmen, wodurch ein Angreifer beeinflussen konnte, welches NFT ausgewählt wurde. Dadurch gelang es ihm, das CryptoPunk einer anderen Person unrechtmäßig zu erwerben (das wertvollste Objekt im Pool).

Ich stehe in Kontakt mit dem Besitzer von Punk 5450 und TokenWorks… https://t.co/C5WABAgb6V

— Adam (@Rhynotic) 3. Juli 2026

Der Angreifer erwarb den CryptoPunk für Ether im Wert von rund 66.000 US-Dollar, woraufhin das Protokoll bei Block 25452023 sofort in den „Nur-Auszahlungsmodus“ versetzt wurde. Das Team erstellte außerdem Snapshots der FWA-Token-Inhaber, um weitere Käufe zu verhindern und es den Einzahlern gleichzeitig zu ermöglichen, ihre Vermögenswerte zurückzuerhalten.

TokenWorks pausiert Protokoll nach Sicherheitslücke

Adam sagte, TokenWorks habe den Besitzer von CryptoPunk #5450 kontaktiert und werde den gesamten mit dem Vorfall verbundenen ETH-Verlust übernehmen. Er fügte hinzu, dass das Team die kommenden Tage damit verbringen werde, den Exploit zu untersuchen, bevor entschieden werde, ob das Protokoll sicher weiterlaufen könne oder ein Neustart erforderlich sei.

Der Vorfall verdeutlicht eine immer wiederkehrende Herausforderung beim Design dezentraler Anwendungen: Selbst wenn externe Zufallsfunktionen wie vorgesehen arbeiten, können Schwachstellen entstehen, wenn sich der Protokollzustand ändern kann, bevor diese Zufallswerte angewendet werden. In diesem Fall konzentrierte sich der Exploit auf den Ausführungszeitpunkt und nicht auf einen Fehler in der Infrastruktur für überprüfbare Zufallswerte von Chainlink.

TokenWorks ist dafür bekannt geworden, experimentelle On-Chain-Produkte auf den Markt zu bringen, die oft unkonventionelle Token-Mechanismen aufweisen. Auf mehrere frühere Markteinführungen, darunter Top Blaster, Cabalcoin, CTO und Ten Thousand Token, folgten öffentliche Nachbetrachtungen, in denen technische Probleme oder Designmängel dokumentiert wurden. Eine bemerkenswerte Ausnahme war PunkStrategy, das trotz vorhersehbarer On-Chain-Handelssignale eine stärkere Akzeptanz erlangte.

Obwohl TokenWorks sowohl erfolgreiche als auch erfolglose Markteinführungen öffentlich dokumentiert hat, unterstreicht der Vorfall die Risiken, denen Nutzer bei der Interaktion mit Smart Contracts in der Frühphase ausgesetzt sind – selbst wenn Entwickler sich verpflichten, betroffene Teilnehmer nach unerwarteten Ausfällen vollständig zu entschädigen.

WEITERLESEN: Worldcoin-Kurs durchbricht mehrwöchigen Abwärtstrend, da Käufer die Kontrolle zurückgewinnen

0
0

Haftungsausschluss: Der Inhalt dieses Artikels gibt ausschließlich die Meinung des Autors wieder und repräsentiert nicht die Plattform in irgendeiner Form. Dieser Artikel ist nicht dazu gedacht, als Referenz für Investitionsentscheidungen zu dienen.

PoolX: Locked to Earn
APR von bis zu 10%. Mehr verdienen, indem Sie mehr Lockedn.
Jetzt Lockedn!