DeFi Lender Inverse Finance für $15.6M ausgenutzt

Der DeFi-Kreditgeber Inverse Finance behauptete in einer Mitteilung vom Mittwoch, den 26. Mai, dass er für eine Summe von $15,6 Millionen DAI und USDC ausgenutzt wurde. In der Ankündigung hieß es, dass die Liquiditätsreserven des Protokolls für ETH/USDC und ETH/DAI von einem unbekannten Angreifer bei Block 12172943 geleert worden seien.

Das Protokoll untersucht noch die Ursache des Hacks, vermutet aber nach einer ersten Analyse, dass der Angreifer Flash Loans und Arbitrage-Möglichkeiten ausgenutzt hat, um Gelder aus beiden Reserven abzuziehen. Der Angriff scheint durch einzelne Transaktionen über mehrere Börsen hinweg ausgeführt worden zu sein, anstatt Gelder zwischen Wallets zu transferieren. Es ist auch möglich, dass im Laufe der Ermittlungen eine weitere Sicherheitslücke aufgedeckt wird, die dazu führen könnte, dass weitere Gelder kompromittiert werden.

Umgekehrte Finanzierung ist ein dezentralisiertes Finanzprotokoll (DeFi), das es Nutzern ermöglicht, ihre Krypto-Vermögenswerte als Sicherheiten im Austausch für ein verzinsliches Darlehen zu hinterlegen. Das kürzlich gestartete Projekt wurde am Abend des 13. Oktober angegriffen, als Hacker begannen, Gelder aus den Verträgen abzuziehen, die der Plattform zugrunde liegen.

Inverse Finance ist eines von mehreren DeFi-Projekten, die in den letzten Monaten Opfer von Hacks wurden, bei denen insgesamt Kryptowährungen im Wert von Hunderten von Millionen Dollar gestohlen wurden.

Den Angreifern gelang es, die Kontrolle über den privaten Schlüssel der Ethereum-Wallet von Inverse Finance zu erlangen und alle Gelder durch eine Reihe von Transaktionen abzuziehen.

Ein privater Schlüssel wird verwendet, um Transaktionen zu signieren, die von der Brieftasche ausgehen. Als es den Angreifern gelang, die Kontrolle über den privaten Schlüssel zu erlangen, konnten sie alle Gelder abziehen, indem sie sie durch eine Reihe von Transaktionen bewegten.

Inverse Finance gab heute auf Twitter bekannt, dass alle Gelder erfolgreich ausgebeutet wurden, darunter $15,6 Millionen USDC, $1 Million DAI und $465.000 ETH.

Inverse Finance, ein DeFi-Lending-Service, der Zinsen auf USDC-Einlagen anbietet, gab heute auf Twitter bekannt, dass er erfolgreich für alle Gelder ausgebeutet wurde, einschließlich $15,6 Millionen in USDC, $1 Million in DAI und $465.000 in ETH.

Der Angriff basierte auf einem fehlerhaften Zeitstempel von Ethereum-Blöcken. Es wird behauptet, dass der Angreifer in der Lage war, diesen Zeitstempel zu manipulieren, um gefälschte Transaktionen in die Datenbank einzufügen. blockchain Dies ermöglichte es ihnen, Gelder von Inverse abzuheben, als ob sie zu einem früheren Zeitpunkt eingezahlt worden wären. Dies bedeutete, dass der Angreifer USD-Sicherheiten aus den Tresoren von Inverse abheben konnte, bevor eine Einzahlung vorgenommen wurde.

Der Gründer und Hauptentwickler von Inverse, Roman Storm, entdeckte den Fehler Berichten zufolge am 2. September 2020, meldete ihn aber erst am 4. September 2020 über seinen persönlichen Twitter-Account, nachdem er alle Gelder auf der Plattform verloren hatte. Die Sicherheitslücke betraf laut Storm über 20 Ethereum-basierte Anwendungen und Protokolle, darunter Balancer Labs und Curve Finance. Zum jetzigen Zeitpunkt gibt es keine Pläne der beteiligten Parteien oder Entwickler, die Transaktionen zurückzunehmen.

Der Leiter der Finanzabteilung des DeFi-Aggregators Yearn.finance hatte nur wenige Stunden vor dem Angriff vor den merkwürdigen Aktivitäten rund um die Inverse Finance-Protokolle gewarnt.

Nach dieser Meldung teilte ein Twitter-Nutzer @rektcapital mit, dass er $60.000 in einen Tresor von Inverse Finance eingezahlt und diesen für drei Tage verschlossen hatte. Danach konnte er Vermögenswerte im Wert von mehr als $580.000 abheben.

DeFi Inverse Finance war ein insolventes Protokoll, da sein nativer Token IFV zu einem Kurs von weniger als einem Cent gehandelt wurde, aber beträchtliche Mengen an Geldern in der Plattform gebunden waren. Das zirkulierende Angebot war über $3 Milliarden IFV-Token wert.

Das Inverse Finance-Protokoll war im Grunde insolvent, da sein nativer Token IFV, der die Verwaltung und den Betrieb der Plattform unterstützt, bei Uniswap mit weniger als einem Cent gehandelt wurde. Dennoch hatten die Nutzer enorme Geldbeträge in das Protokoll gesperrt; laut DeFi Pulse-Daten hatte Inverse Finance zum Zeitpunkt des Hacks einen Gesamtwert von $182 Millionen.

Da die Nutzer nach dem Hack eilig Geld von den privaten Schlüsseln ihrer jeweiligen Wallets abhoben, verkauften sie auch alle IFV-Token, wobei ein zirkulierender Bestand im Wert von mehr als $3 Milliarden innerhalb weniger Stunden nach der Benachrichtigung der Nutzer den Besitzer wechselte.

Bei Redaktionsschluss war Inverse Finance noch offline. Eine wichtige Frage, die sich aus diesem Hack ergibt, ist, wie sicher die Gelder sind, wenn sie auf andere DeFi-Protokolle übertragen werden. Andere Fragen sind, ob die Gelder zurückgegeben werden und welche Rolle dezentrale Börsen bei der Wiederherstellung der Finanzierung spielen werden.

Verschiedene Nutzer in den sozialen Medien haben auch Fragen zu den Sicherheitspraktiken und -protokollen von Inverse Finance aufgeworfen, insbesondere im Hinblick auf die dezentralisierte Governance-Struktur des Unternehmens. So behaupteten mehrere Nutzer, dass der Angriffsvektor auf eine im Januar 2021 entdeckte Sicherheitslücke zurückzuführen sei, die Inverse Finance gemeldet, aber letztlich nicht behoben wurde.

Inverse Finance sagte, dass es rechtliche Schritte gegen den Angreifer einleitet und mit den zuständigen Behörden zusammenarbeitet, um Gelder von Kryptowährungsbörsen zurückzuholen, an die die gestohlenen Vermögenswerte gesendet wurden:

"Wir nehmen die Sache sehr ernst und versichern Ihnen, dass wir keine Kosten scheuen, um sicherzustellen, dass der Angreifer zur Rechenschaft gezogen wird.

Schwachstelle in DeFi führte zu Exploit

Der Angriff wurde durch eine Sicherheitslücke in einem Smart Contract ermöglicht. Es ist nicht das erste Mal, dass ein intelligenter Vertrag ausgenutzt wird, aber dieser Angriff war besonders erfolgreich.

Intelligente Verträge gibt es nicht nur bei DeFi. Sie wurden auch in anderen blockchain-Anwendungen verwendet, darunter eines der beliebtesten Projekte auf Ethereum - CryptoKitties.

Ein intelligenter Vertrag ist eine Reihe von Regeln, die detailliert festlegen, wie und wann eine Aktion in einem blockchain-Netzwerk stattfindet. Einmal geschrieben, kann er nicht mehr geändert werden, es sei denn, es wird ein Konsens zwischen allen Knoten in diesem blockchain-Netzwerk erreicht. Aufgrund ihrer Unveränderlichkeit wird erwartet, dass Smart Contracts sicher und unveränderlich sind; allerdings gibt es viele Fälle, in denen Schwachstellen aufgrund von nicht robustem oder unvollständigem Code ausgenutzt wurden.

Um zu verhindern, dass Schwachstellen erneut auf diese Weise ausgenutzt werden, ist es wichtig, dass DeFi-Entwickler lernen, guten Solidity-Code zu schreiben (die Sprache, die zum Schreiben von Smart Contracts verwendet wird) und ihn gründlich zu testen, bevor sie ihn in einem blockchain-Netzwerk einsetzen.

Verwandte Links

de_DEGerman