Massiver Krypto-Raub auf der Blockchain von Binanc...

Ein relativ unbekannter Token namens ATM, der auf der $BNB Smart Chain (BSC) eingesetzt wird, wurde das jüngste Opfer einer Smart-Contract-Schwachstelle. Ein Angreifer erbeutete etwa 243.500 US-Dollar, indem er eine nicht standardmäßige Logik in der Funktion transferFrom() des Tokens ausnutzte.

Die Sicherheitsüberwachungsplattform TenArmor meldete den Vorfall am 4. Juni 2026. Die Warnungen machten deutlich, dass benutzerdefinierte Token-Mechaniken, die häufig für Gebühren, Liquiditätsbereitstellung oder Belohnungen hinzugefügt werden, bei unzureichender Sicherung schwerwiegende ausnutzbare Schwachstellen schaffen können.

#CertiKInsight

Wir haben einen Exploit von etwa 243.000 US-Dollar auf dem ATM-Token gesehen. transferFrom() enthält eine Logik zum Umtausch von 20 % des Überweisungsbetrags von ATM gegen BSC-USD, sodass der Angreifer nach der Übertragung wiederholt zusätzliche Umtauschbeträge vornehmen kann.https://t.co/mf6uhujZgK

Bleiben Sie wachsam! pic.twitter.com/hwN1B3Xt0m

– CertiK-Alarm (@CertiKAlert) 4. Juni 2026

Laut der Analyse von CertiK lag das Kernproblem in der transferFrom()-Implementierung des Token-Vertrags. Anstatt eine Standard-Token-Übertragung durchzuführen, löste die Funktion automatisch einen Umtausch von 20 % des übertragenen Geldautomatenbetrags in BSC-USD (oder einen gleichwertigen Betrag) über einen dezentralen Exchange-Router aus.

Dieses versteckte Verhalten ermöglichte es dem Angreifer, wiederholt Übertragungen zu initiieren, die weitaus mehr Wert brachten, als normale Genehmigungen zulassen sollten. Der Haupt-Angriffstransaktions-Hash ist: 0x37b90a…dcfd86

Vertragsadresse: 0x4fd087…d5a205

Blockchain-Sicherheitswarnungen erkannten verdächtige Aktivitäten frühzeitig. Die Adresse des Angreifers, 0x7e7C1f…CdBAFE, wird seit 2025 mit früheren Token-Vertrags-Exploits in Verbindung gebracht. Der Angriff beruhte nicht auf Flash-Krediten oder Wiedereintritt, sondern nutzte die unbeabsichtigten wirtschaftlichen Nebenwirkungen der benutzerdefinierten Übertragungslogik.

Dieser jüngste Vorfall trägt zu einer besorgniserregenden Welle von Exploits in der $BNB-Kette bei. Nur wenige Tage zuvor wurde TesseraDAO von einem Großangriff getroffen, bei dem der Angreifer etwa 99 Millionen TSR-Token prägte, sie entsorgte und rund 2,5 Millionen US-Dollar an USDT abzog. Der TSR-Token stürzte nach dem Vorfall um fast 99 % ab.

Die öffentlichen Informationen über das ATM-Projekt sind nach wie vor sehr spärlich. Es gibt keine weithin verfügbare offizielle Website, kein Whitepaper oder eine detaillierte Roadmap. Das Projekt scheint kein großes DeFi-Protokoll zu sein, und Details zu seinem beabsichtigten Anwendungsfall, Teamhintergrund oder Total Value Lock (TVL) vor dem Exploit sind nicht gut dokumentiert.

Bis zum 5. Juni 2026 hat das ATM-Projektteam keine offizielle öffentliche Erklärung zu dem Vorfall abgegeben, weder dazu, ob der Vertrag pausiert wurde, noch zum Liquiditätsstatus oder zu irgendwelchen Wiederherstellungsbemühungen.

Solche Schwachstellen sind kein Einzelfall. Ende Mai 2026 nutzten Angreifer alte Liquiditätsschließfächer auf DxSale aus und erbeuteten etwa 7,3 Millionen US-Dollar aus über 1.400 Pools, indem sie Zeitstempel für die Freischaltung manipulierten und LP-Tokens abzogen. Dies zeigt, dass auch ältere „gesperrte“ Liquidität aus früheren Zyklen gefährdet bleiben kann.

Dieser Vorfall dient als klassisches Beispiel für die Gefahren, die mit kundenspezifischen Tax-on-Transfer- oder Auto-Swap-Mechanismen in ERC-20-ähnlichen Verträgen verbunden sind. Obwohl solche Funktionen legitimen Zwecken dienen können, erhöhen sie die Komplexität und die Angriffsfläche erheblich.

Blockchain-Sicherheitsexperten warnen immer wieder, dass die Kombination von transferFrom() mit externen Aufrufen, etwa an DEX-Router, strenge Prüfungen, formale Verifizierung und umfangreiche Edge-Case-Tests erfordert.

Überprüfen Sie Smart Contracts immer gründlich, bevor Sie mit ihnen interagieren.

Widerrufen Sie Token-Genehmigungen regelmäßig, insbesondere für unbekannte oder Low-Cap-Token.

Bevorzugen Sie Projekte mit mehreren unabhängigen Audits und transparenten Sicherheitspraktiken.

Auch wenn es sich nach Maßstäben des Jahres 2026 um einen mittelgroßen Exploit handelt, untergraben solche Vorfälle weiterhin das Vertrauen in das breitere DeFi-Ökosystem. Kleinere Token auf Ketten wie der $BNB Smart Chain bleiben aufgrund überstürzter Bereitstellungen und unzureichender Sicherheitsmaßnahmen häufige Ziele.

Benutzern wird dringend empfohlen, beim Umgang mit neuen oder wenig sichtbaren Token äußerste Vorsicht walten zu lassen.