Neuer Tag, neuer Hack: Betrüger stehlen 2 Millionen Dollar aus Ethereum-DeFi-App

Hack- Betrüger stehlen 2 Millionen Dollar aus Ethereum-DeFi-App

Angesichts der Milliarden Dollar im Umlauf ist es keine Überraschung, dass es im Bereich der dezentralisierten Finanzen (DeFi) immer wieder zu Hacks und Softwarefehlern kommt.

Um eine der vielen jüngsten Schwachstellen von DeFi-Verträgen zu nennen: Harvest Finance wurde für 25-33 Millionen Dollar in Stablecoins gehackt – und zwar aufgrund eines so genannten „Flash-Loan-Angriffs“.

Es gab einen Fehler in der wirtschaftlichen Logik, den die Entwickler von Harvest nicht berücksichtigt hatten und der es einem technisch fähigen Angreifer ermöglichte, Gelder abzuziehen.

Ähnliche Angriffsvektoren wurden mit Verträgen wie dem von Eminence Finance ausgenutzt, einem auf Ethereum basierenden Spiel, in das Benutzer Millionen investierten, obwohl es keine offizielle Startankündigung gab.

Die Hack-Transaktionen auf Etherscan

Ganz zu schweigen davon, dass es eine Reihe von fatalen Fehlern gibt. Zum Beispiel mussten die Entwickler von Yearn.finance (YFI) einen Fehler beheben, der es einem Benutzer erlaubt hätte, Stablecoins im Wert von 650.000 Dollar aus einem seiner Produkte zu stehlen. 

Der Fehler ähnelte dem, mit dem die Gelder von Harvest abgezogen wurden. Leider werden nicht alle Bugs entdeckt und ausgemerzt, bevor sie ausgenutzt werden.

Jüngst wurden aus der Akropolis-App Stablecoins von MakerDAO im Wert von etwa 2 Millionen Dollar entwendet. Akropolis ist ein vollwertiges DeFi-Protokoll, das sich darauf konzentriert, „Normalen“ die Möglichkeit zu geben, ihre Stablecoins zu sparen und Zinsen zu verdienen. Ihr Sparprodukt wurde nun von einem unbekannten Angreifer ausgenutzt.

Ethereum-DeFi-Anwendung Akropolis für 2 Millionen Dollar gehackt

Am frühen Donnerstag begannen Ethereum-Analysten und Nutzer von Akropolis verdächtige Transaktionen mit dem Akropolis-Sparprodukt, genannt Delphi, zu bemerken.

Schnell wurde klar, dass ein Angriff stattgefunden hatte. Daten aus der Chain deuteten darauf hin, dass der DAI von Akropolis zu einer Adresse geleitet worden war, die Dutzende Male pro Minute mit dem Protokoll interagierte – was darauf hindeutete, dass etwas im Gange war.

Innerhalb von zwanzig Minuten sandte der Angreifer Dutzende von Transaktionen an eine Reihe von Delphi-Sparpools von Akropolis, wobei er jedes Mal eine Summe des DAI aus dem Pool abzog.

Insgesamt wurden 2.030.000 DAI scheinbar unrechtmäßig aus Akropolis abgezogen.

Diese Stablecoins wurden an eine Adresse geschickt und sind seitdem dort. Der mutmaßliche Angreifer hat bisher noch keine Transaktion von der Adresse aus geschickt, auf der die gestohlenen Gelder liegen.

Wie kam es dazu?

Die Krypto-Asset-Auditing- und Sicherheitsfirma PeckShield, die sich in den letzten Monaten auf DeFi konzentriert hat, hat die Einzelheiten des Angriffs Stunden nach dessen Durchführung aufgeschlüsselt.

Um es einfach zu halten: Der Angreifer benutzte ein Blitzdarlehen von dYdX, um die Smart-Contracts von Akropolis so auszutricksen, dass sie dachten, sie hätten Gelder eingezahlt, die der Angreifer in Wirklichkeit nicht hatte. Während einige Gelder eingezahlt wurden, wurden dem Angreifer Liquiditäts-Token im Wert von mehr als dem eingezahlten Betrag zur Verfügung gestellt, wodurch eine Diskrepanz entstand, die zu großen Abhebungen aus dem Pool führen konnte.

„Der Exploit führte zu einer großen Anzahl von Pool-Token, die geprägt wurden, ohne dass sie durch wertvolle Vermögenswerte gedeckt waren. Die Rücknahme dieser geprägten Pooltokens wird dann ausgeübt, um etwa 2,0 Mio. DAI aus den betroffenen Pools YCurve und sUSD abzuziehen“, so Peckshield.

Akropolis hat ebenfalls auf den Angriff reagiert und schreibt, dass sie den Code überprüfen und nach Möglichkeiten suchen, die betroffenen Benutzer des Protokolls zu entschädigen.

Nur zwei der zehn Pools der Plattform waren davon betroffen.

Artikel teilen:
Folge uns:
Heiß diskutiert:
Mehr zum Thema:
Du willst mehr?

Melde dich zu unserem Newsletter an, den wir einmal die Woche versenden.
Wir berichten über die wichtigsten Ereignisse und halten dich auf dem Laufenden!

Ich akzeptiere, dass meine Daten im Zuge des Abonnement des Newsletters von Coin-Update zur Messung, Speicherung und Auswertung von Klickraten zu Zwecken der Gesaltung und Optimierung der künfitgen Newsletter-Qualität genutzt werden. Die Einwilligung zum Empfang vom Newsletter und der Messung kann mit Wirkung in Zukunft widerrufen werden. Der Versand erfolgt durch den Dienstleister Brevo. Mehr dazu im Datenschutz.