DeFi-Exploits und -Angriffe sind zunehmend alltäglich geworden, da sich der Raum entwickelt und sowohl Geld als auch Teilnehmer anzieht. Der neueste dieser Angriffe fand heute statt – über $14 Millionen an Krypto wurden gestohlen.
Furucombo angegriffen
Furucombo, ein Ethereum-basiertes Transaktions-“Batching”-Protokoll (zur Ethereum per Paypal kaufen Anleitung), hat heute Morgen erklärt, dass die Plattform ausgenutzt wurde und Benutzer gebeten, als Vorsichtsmaßnahme alle Genehmigungen einzustellen.
Das Tool wurde für Endbenutzer entwickelt, um ihre DeFi-Strategie zu optimieren, indem sie einen einfachen “Drag-and-Drop”-Mechanismus verwenden. Das Tool ermöglicht es Benutzern, die nicht programmieren können, aber die DeFi-Märkte verstehen, ihre eigenen Strategien zu erstellen und auszuführen.
Das Protokoll erlebte heute Morgen einen Exploit. “Wir haben die relevanten Komponenten deautorisiert und glauben, dass die Schwachstelle gepatcht ist, aber wir empfehlen den Nutzern, die Freigaben aus reiner Vorsicht zu entfernen”, so Furucombo in einem Tweet.
Mit dem Laden des Tweets akzeptieren Sie die Datenschutzerklärung von Twitter.
Mehr erfahren
Laut dem The-Block-Forscher Igor Igamberdiev war der Angreifer in der Lage, den Exploit durchzuführen, indem er Furucombos Smart Contracts dazu brachte, einem gefälschten Datensatz zu vertrauen und zu verarbeiten, der zu dem dezentralen Kreditvergabedienst Aave gehört – einem Protokoll, das es Nutzern ermöglicht, Kredite mit Sicherheiten (oder Flash-Kredite ohne Sicherheiten) aufzunehmen.
“Ein Angreifer, der einen gefälschten Vertrag verwendete, ließ Furuсombo glauben, dass Aave v2 eine neue Implementierung hat”, so Igamberdiev in einem Tweet. Das habe dazu geführt, dass alle Interaktionen mit “Aave v2” “genehmigt” und an eine vom Hacker kontrollierte Adresse gesendet wurden.
Mit dem Laden des Tweets akzeptieren Sie die Datenschutzerklärung von Twitter.
Mehr erfahren
On-Chain-Daten zeigen außerdem, dass der Angreifer die Gelder jedes Benutzers, der Furucombo “genehmigt” hatte, um Transaktionen in seinem Namen durchzuführen, übertragen hat – und das führte dazu, dass über 14 Millionen Dollar gestohlen wurden.
Über 3.900 stETH (ein staked Ethereum Token) und $2.4 Millionen in Stablecoin USDC waren getroffen. Die Angreifer haben ihren illegal gewonnenen Stash an den Privatsphären-Mixer Tornado Cash transferiert – ein Tool, das Adressen maskiert und Nutzern erlaubt, Kryptowährungen (Zur Bitcoin mit Paypal kaufen Anleitung) auf der Chain zu tauschen.
User sollen entschädigt werden
Hsuan-Ting, der CEO der Krypto-Börse Dinngo, die Firma, die Furucombo baut und unterhält, sagt, die Firma übernimmt die Verantwortung für den Angriff und bittet die Nutzer, sich keine Sorgen über ihre Verluste zu machen.
„Wir berechnen, wie viel verloren ist“, so Hsuan-Ting.
Und:
“Wir halten alle auf dem Laufenden. Gemeinsam sind wir stärker.”
In der Zwischenzeit sagte Julien Bouteloup von Curve Finance auf Twitter, dass solche “evil contracts“-Exploits scheinbar der neue “heilige Gral” seien.
Er bezieht sich dabei wahrscheinlich auf frühere Angriffe auf Alpha Finance und Pickle Finance, bei denen ein ähnlicher “böser Vertrag” Millionen von Dollar in Kryptowährungen abzog, indem er die Protokolle dazu brachte, gefälschte Verträge zu genehmigen und zu akzeptieren.
Die Projekte konnten damals jedoch weiteren Schaden abwenden.
Textnachweis: Cryptoslate
