Eine grundlegende Eigenschaft eines Hypes ist, dass die meisten nur die großen Chancen sehen, die Risiken werden oft “wegrationalisiert”. Auch beim aktuellen DeFi-Hype scheint die Gier langsam die Oberhand zu gewinnen, während die Blase an Fahrt aufnimmt. Dass es auch Risiken gibt, musste gestern das bZx Protokoll am eigenen Leib erfahren und das nicht zum ersten Mal in diesem Jahr. Bereits im Februar wurde das auf Ethereum befindliche dezentrale Protokoll für tokenisiertes Margintrading Opfer eines Hackerangriffes. Damals wurden in 2 Hacks knapp 1 Mio. $ entwendet. Dieses Mal war der Schaden wesentlich höher, 8 Mio. $.
Was war passiert?
Laut eines Berichtes von bZx war ein Angreifer imstande durch eine Schwachstelle iTokens zu vervielfältigen und diese dann gegen die Basistoken einzutauschen. Dies gelang über eine fehlerhafte Implementierung des Codes. Das Team bemerkte den Vorfall, stoppte den Smart Contract und korrigierte den Fehler. Jedoch konnten bereits Token im Wert von rund 8 Mio. $ entwendet werden:
Mehr zu iToken
iToken sind Token, welche für die Hinterlegung nativer Token ausgegeben werden. Ein Nutzer hinterlegt z. B. DAI und bekommt dafür iDAI. Die iDAI wachsen im Wert, weil die DAI Zinsen generieren. Der Nutzer kann die iDAI jederzeit wieder in DAI umtauschen.
bZx ist versichert
bZx sagte kurz nach dem Angriff, dass sich die Nutzer keine Sorgen um ihre Einlagen machen müssten. Die Plattform sei für diesen Fall versichert.
so @bZxHQ is claiming no loss of funds but there's ~4.7K $ETH sitting in an EOA
Entwickler verlangt Kopfgeld
Der Entwicklungsleiter von bitcoin.com, Marc Thalen, hat auf Twitter gepostet, dass er den Vorfall bemerkt und das Team informiert habe. So hätte größerer Schaden verhindert werden können. Nach seinen Angaben hätten Token im Wert von insgesamt mehr als 20 Mio. $ auf dem Spiel gestanden.
1/4 Last night I found an exploit in BRZX. I noticed that a user were capable of duplicating “i tokens”. There was 20+ million $ at risk. I informed the team telling them to stop the protocol and explained the exploit to them. At this point none of the founders were up.. pic.twitter.com/MdJqOH2IPu
Er habe die Schwachstelle selbst erfolgreich getestet, bevor er sich an das Team wandte. Dieses sei zu dem Zeitpunkt aber nicht verfügbar gewesen und der Angreifer hatte Zeit, seine Token zu vervielfältigen. Als dann schließlich doch jemand erreicht werden konnte, waren bereits empfindliche Mengen an Token entwendet worden.
Thalen wartet nun auf sein Kopfgeld, das bZx offiziell für das Melden von Fehlern ausgesetzt hatte.
Dies dürfte ein kritischer Fehler sein, dessen Meldung mit 350.000 $ dotiert ist. Thalen beschwert sich, dass einer der Gründer in der Telegramgruppe “nur” 12,500 $ für das Melden des Fehlers vorgeschlagen habe, obwohl eigentlich mehr ausgelobt war.
Bereits beim letzten Hack sträubte sich bZx verdientes Kopfgeld auszuzahlen. Die Community machte daraufhin jedoch ordentlich Druck und es kam dann doch zur Belohnung für den Fehlerjäger.