Marktkapitalisierung: 24h Vol: BTC: BTC Dom:
Gold: S&P 500: EUR/USD: Öl (BRENT):

Infinite Mint Attack

Ein Infinite Mint Attack zielt auf genau die Funktion innerhalb eines Smart Contracts, die eigentlich am strengsten geschützt sein sollte: die Funktion, die neue Token-Supply erzeugt. Der zugrunde liegende Fehler ist meist spezifisch statt generisch, etwa eine fehlende Zugriffsprüfung bei der Mint-Funktion, eine fehlerhafte Rechenvariable für Rewards oder ein Integer Overflow, der den Contract glauben lässt, es sei eine Sicherheit hinterlegt worden, obwohl das nie geschehen ist. Da Blockchain-Transaktionen sofort endgültig sind und nicht rückgängig gemacht werden können, kann ein Angreifer, der den Fehler findet, in einer einzigen Transaktion Millionen oder sogar Billionen Token erzeugen, lange bevor ein Team reagieren kann.

Der Exploit läuft fast immer nach demselben Muster ab: Die frisch geminteten Token werden über eine dezentrale Exchange oder einen Liquidity Pool gegen Stablecoins oder andere Assets getauscht, noch bevor der Vorfall bestätigt ist, wodurch der Token-Preis Richtung null abstürzt und die Pools leergezogen werden, auf die andere Halter für ihren Ausstieg angewiesen waren. Cover Protocol verlor auf diese Weise im Dezember 2020 rund 37 Millionen Dollar, nachdem ein Fehler in der Staking-Rewards-Buchhaltung Angreifern erlaubte, eine astronomische Menge an COVER-Token zu minten. Der Solana-Stablecoin Cashio wurde 2022 durch eine fehlende Sicherheitenprüfung wertlos gemacht, und im Juni 2026 erbeutete ein Angreifer 4,67 Millionen Dollar von einer Secret-Network-Bridge, indem er Cross-Chain-Einzahlungen fälschte, mit denen ungedeckte Wrapped Token geminted wurden.

Da der Schaden in einer einzigen atomaren Transaktion entsteht, hängt Prävention davon ab, den Fehler vor dem Deployment zu finden: gründliche Security Audits, per Multisignatur abgesicherte Minting-Rechte und Echtzeitüberwachung der Supply. Selbst auditierte Protokolle bleiben einem gewissen Risiko ausgesetzt, da neue Codepfade dieselbe Fehlerklasse verbergen können.