Coin-Update
Suche
Close this search box.

DeFi-Panne: Bug vernichtet 8 Millionen Dollar bei Ethereum, Chainlink und Stablecoins

DeFi Bug vernichtet 8 Millionen Dollar bei Ethereum, Chainlink Stablecoins

Das dezentralisierte Finanzwesen (kurz: DeFi) ist in den letzten Monaten zweifellos exponentiell gewachsen – und mit ihm gleichzeitig der Wert der DeFi-Coins und der in diesen Contracts eingeschlossenen Krypto-Währungen.

Was verrückt ist: DeFi kam monatelang trotz des starken Anstiegs der Benutzerzahlen, des Kapitals im Raum und einer unglaublichen Anzahl von Protokollen ohne Hacks oder größere Fehler aus, die zum Verlust von Benutzergeldern geführt hätten.

Natürlich gab es den berüchtigten Yam-Bug, aber das war eine kleine Delle von 500.000-750.000 Dollar in einer Industrie, die mehrere Milliarden Dollar wert ist.

Am Sonntag, dem 13. September, fand der letzte große DeFi-Bug/Hack mit dem bZx-Protokoll statt, einer auf Ethereum basierenden Geldmarkt- und On-Chain-Tradingplattform.

Am Morgen des 13. Septembers meldeten sich User und bZx selbst auf Twitter, um DeFi-Benutzer zu warnen, dass etwas mit dem Protokoll nicht in Ordnung sei. Damals behauptete das Team hinter dem auf Ethereum basierenden Projekt, dass bei dem damals mysteriösen Angriff keine Gelder der Benutzer verloren gegangen seien.

Einige waren jedoch immer noch beunruhigt – denn dann fiel auf, dass Coins wie Ethereum, Chainlink und Stablecoins im Wert von Millionen auf einen externen Account abgehoben wurden – auf einen Account, der kein Smart Contract ist und anscheinend jemandem außerhalb des Protokolls gehört.

Stunden später veröffentlichte der Mitbegründer des Projekts, Kyle Kistner, einen Obduktionsbericht über die Geschehnisse.

Einfach ausgedrückt: Es gab einen Fehler, der es Usern ermöglicht hat, iToken zu duplizieren – verzinsliche Vermögenswerte, die dem bZx-Protokoll entstammen:

„Jedes ERC20-Token hat eine TransferFrom()-Funktion, die für die Übertragung von Token verantwortlich ist. Es war möglich, diese Funktion aufzurufen, um einen iToken zu erstellen und auf sich selbst zu übertragen, wodurch sie Ihren Kontostand künstlich erhöhen konnten.“

Anscheinend gelang es einem Angreifer, dieses System zu benutzen, um über mehrere Stunden hinweg 219.199 LINK, 4.502 ETH und Stablecoins im Wert von etwa 4 Millionen Dollar abzuziehen. Dies entspricht einem Verlust von etwa 8 Millionen Dollar.

Marc Thalen, der leitende Ingenieur bei Bitcoin.com, berichtet, dass er dem Team bei der Identifizierung des Problems geholfen hat. Thalen erhält angeblich 12.500 Dollar für seine Bemühungen bei der Behebung des Fehlers.

Das Team wird die Benutzer des Protokolls mit einem Versicherungsfonds unterstützen, der sicherstellt, dass kein User am Ende weniger Mittel als vor dem Angriff erhält.

Gelder zurückgegeben?

Soeben wurde bekanntgegeben, dass die „fehlenden Gelder nun wiederhergestellt sind“.

Dies deutet darauf hin, dass die vom Angreifer gestohlenen Gelder möglicherweise an das bZx-Team zurückgegeben wurden.

Es ist nicht klar, wie es dazu kommen konnte, aber wie beim dForce-Hack könnte es sein, dass Benutzer herausgefunden haben, wer der Angreifer war – und dann gedroht haben, die Strafverfolgungsbehörden anzurufen, wenn die Gelder nicht rechtzeitig zurückgegeben würden. 

Es gibt Gerüchte, dass das bei dem Hack verwendete Konto direkt mit einem Binance-Konto verbunden ist, was die Pseudonymität drastisch reduzieren würde.

Es könnte auch sein, dass es sich bei dem Angreifer um einen „White-Hat“-Hacker handelt, der vorübergehend die Gelder genommen hat, um das Team zu warnen – und dann die Krypto-Währung als Geste des guten Willens zurückgegeben hat.

Artikel teilen:
Folge uns:
Heiß diskutiert:
Mehr zum Thema:
Du willst mehr?

Melde dich zu unserem Newsletter an, den wir einmal die Woche versenden.
Wir berichten über die wichtigsten Ereignisse und halten dich auf dem Laufenden!

Ich akzeptiere, dass meine Daten im Zuge des Abonnement des Newsletters von Coin-Update zur Messung, Speicherung und Auswertung von Klickraten zu Zwecken der Gesaltung und Optimierung der künfitgen Newsletter-Qualität genutzt werden. Die Einwilligung zum Empfang vom Newsletter und der Messung kann mit Wirkung in Zukunft widerrufen werden. Der Versand erfolgt durch den Dienstleister Brevo. Mehr dazu im Datenschutz.