BetterBank-Hack: Wie ein 5-Millionen-Dollar-Exploit durch mangelnde Kommunikation möglich wurde

Der BetterBank-Hack vom 26. August 2025 nutzte eine bekannte Schwachstelle im Favor-Token-System, die durch unzureichende Kommunikation und fehlende Absicherungen nicht behoben wurde. Dies führte zu Verlusten von etwa 5 Millionen US-Dollar.

So lief der Better Bank Hack ab

Wie aus einem Bericht von Zokyo hervorgeht , wurde BetterBank am 26. August 2025 Ziel eines Hackerangriffs, bei dem ein Exploit ausgenutzt wurde. Dadurch war es möglich, unerlaubt Favor-Tokens zu minten. Die Schwachstelle war zwar bereits bekannt, allerdings wurde sie erst durch eine unzureichende Kommunikation und fehlende Absicherungen für einen gezielten Angriff nutzbar. BetterBank ist dabei das Web3-Protokoll der dezentralen Kryptobörse PulseX, die wiederum auf die PulseChain setzt.

Durch die Schwachstelle war es möglich, eigene Liquidity Pools für neue Kryptowährungen auf zu erzeugen. Ein zweiter Exploit bestand darin, eigene Contracts mit dem bei BetterBank registrierten Favor-Token zu verwenden. Über eine spezielle Funktion konnten Angreifer durch Massen-Swaps Bonus-Tokens generieren. Da die selbst erstellten Pools nicht als „offiziell“ eingestuft wurden, entfielen die normalerweise hohen Gebühren bei solchen Transaktionen. Genau dieser Umstand machte den Angriff wirtschaftlich attraktiv und führte dazu, dass der Exploit effektiv genutzt werden konnte.

Audit zeigte Schwachstellen auf

Zokyo entdeckte bereits im Juli zwei gravierende Schwachstellen. Es wurden auch konkrete Empfehlungen ausgesprochen, wie die Probleme behoben werden könnten. Dazu gehörte unter anderem, dass ein direkter Swap-Pfad sichergestellt werden muss. Zusätzlich sollten Bonuszahlungen ausschließlich für verifizierte Tokens zugelassen werden.

Beide Empfehlungen zur Behebung der Schwachstellen im Krypto-Trading hat PulseX jedoch nicht vollständig umgesetzt. Dadurch blieben die Lücken im System offen und konnten später missbraucht werden. Zum Zeitpunkt des Hacks entsprach dies etwa 5 Millionen US-Dollar. Der Angreifer hält noch etwa 700.000 pDai, die jedoch noch über eine Bridge transferiert werden müssen, um nutzbar zu sein.

BetterBank hat die Verluste teilweise aus eigenen Reserven ausgeglichen und plant, das Belohnungsprogramm mit einem neuen Coin Launch und einem neuen Smart Contract neu zu starten.

Fehler in der Kommunikation

Die entdeckten Schwachstellen wurden zwar an BetterBank weitergeleitet, allerdings wurde nicht klar genug hervorgehoben, wie schwerwiegend die Folgen bei Nichtbehebung sein könnten. Insbesondere der Umstand, dass Tokens beliebig nutzbar waren, wurde nur unzureichend kommuniziert.

Auch die Ergebnisse des Proof-of-Concepts wurden nicht ausreichend transparent dargestellt. Dies führte dazu, dass die Schwachstelle fälschlicherweise als weniger kritisch eingestuft wurde.

Lehren ziehen

In Zukunft soll verhindert werden, dass bekannte Sicherheitslücken ignoriert oder falsch bewertet werden. Hier sind beide Seiten gleichermaßen gefordert: Auditoren müssen Risiken eindeutig und verständlich kommunizieren, während Projekte die gefundenen Schwachstellen ernst nehmen und umgehend beheben müssen. Bekannte Probleme dürfen nicht länger aufgeschoben werden, da die Konsequenzen gravierend sein können. Höchste Priorität muss daher künftig die schnelle Schließung von Sicherheitslücken haben.

Derzeit unterstützt Zokyo BetterBank bei der Wiederherstellung des Protokolls und bei der Umsetzung geeigneter Gegenmaßnahmen.