🟠 Überwachungssysteme kennzeichneten abnormale Abhebungen, die mit dem OG Labs-Belohnungsvertrag verbunden waren, gefolgt von Einzahlungen in Tornado Cash. Das war kein Fehler – es war eine privilegierte Funktion, die genau wie geplant verwendet wurde… nur in den falschen Händen.
🟠 Ein Angreifer führte emergencyWithdraw() aus, eine hochrangige Verwaltungsfunktion, und zog ungefähr 520.000 OG-Token (~516.000 $) auf eine einzige Adresse ab, bevor er die Gelder über Tornado Cash leitete. Sauberer Ausstieg, null Geräusch, klassisches Handbuch.
🟠 Dies ist die unangenehme Erinnerung, die niemand mag: Wenn ein Vertrag Notfall- oder Verwaltungsbefugnisse hat, endet die Sicherheit nicht bei Audits – sie endet bei Schlüsselmanagement und Zugangskontrolle. Eine kompromittierte Rolle reicht aus, um alles zu entleeren, ohne eine einzige Codezeile auszunutzen.
🟠 Das Mischen durch Tornado deutet sofort darauf hin, dass es keine Absicht gibt, zu verhandeln oder Gelder zurückzugeben. Das war kein Experiment, es war ein Cash-out.
⚠️ In DeFi sind „Notfallfunktionen“ zweischneidige Schwerter. Sie retten Protokolle in Krisen – und töten sie, wenn Governance oder Schlüssel versagen. Kein Exploit nötig, nur Berechtigungen am falschen Ort.
