Hacker erbeutet 500.000 $ aus DeFi Liquiditätspool

Der aktuelle DeFi (Dezentrale Finanzen)-Hype dürfte wohl kaum einem Kryptofreund verborgen geblieben sein. Das verwaltete Vermögen aller Ethereum-DeFi-Projekte ist in den letzten 30 Tagen von rund 950 Mio. $ auf 1,64 Mrd. $ um rund 70 % gestiegen. Mit dem starken Wachstum kommen aber auch die Hacker, die nun größere finanzielle Anreize vorfinden.

DeFi: Verwaltetes Kapital auf Ethereum — Das von DeFi Projekten verwaltete Kapital auf Ethereum (defipulse)

Am Sonntag fiel die DeFi-Plattform Balancer einem Angriff zum Opfer. Der oder die Angreifer konnte/n Coins und Token im Wert von umgerechnet rund 500.000 $ erbeuten. Balancer ist ein Liquiditätspool, der den schnellen dezentralen Tausch zwischen Token ermöglicht.

Zurzeit haben wir ein spannendes Test-Angebot für dich! Du kannst unsere Premium-Mitgliedschaft im ersten Monat für 1€/Tag testen. Überlege dir, es zu testen, falls du im Krypto-Markt immer Up-To-Date sein möchtest! Du erhältst im Premium-Bereich Trading-Ideen sowie professionellen Trading-Support. Weiterhin erhältst du oftmals frühzeitig Informationen zu den neuesten Krypto-Trends! So konnten unsere Kunden auch verschiedene NFTs früh genug kaufen. Falls du Genaueres zu unserem Premium Test-Angebot lesen willst, dann klicke hier!

So ging der Angriff vonstatten

Balancer hat noch am Samstag einen Blogpost veröffentlicht, in dem der Angriff beschrieben wird. Der Hacker hat sich dabei auf 2 Pools sogenannter deflationärer Kryptowährungen (STA und STONK) konzentriert. Deshalb deflationär, weil bei jeder Transaktion Token vernichtet werden und so die Gesamtmenge schrumpft.

Zuerst hat der Hacker über die Plattform dYdX einen rund 104.000 ETH (rund 23 Mio. $) umfassenden Flashloan (Kredit der im selben Block wieder zurückbezahlt werden muss) getätigt und die ETH in WETH (ERC-20 Token auf Ether) getauscht. Diese hat er dann in immer größeren Mengen mit STA getauscht. Da bei jeder Transaktion STA vernichtet werden und der Pool dies berücksichtigt, ist das Volumen des Pools durch die Transaktionen zunehmend geschrumpft. Dadurch ist der STA-Preis im Verhältnis zu anderen Token auf der Plattform stark angestiegen.

Nun hat der Hacker seine hochwertigen STA benutzt, um sie in andere Token bzw. Coins (LINK, WBTC (ERC-20 auf Bitcoin), SNX und ETH) zu tauschen. Am Ende hat er dann den Flashloan zurückgezahlt und die Beute auf unbekannte Adressen überwiesen. Alle diese Vorgänge (315 Tokentransfers) fanden in einer einzigen Transaktion statt. Diese kostete dem Hacker rund 55 $. Zwar relativ teuer, aber ein Schnäppchen in Anbetracht der erbeuteten Summe.

Um diese Art der Transaktion durchzuführen hat der Angreifer einen Smart Contract auf der Ethereum Blockchain angelegt. Die dafür nötigen Gebühren und die bezahlten Transaktionskosten für den Angriff lassen sich zum Ethereum Mixerdienst 1inch zurückverfolgen. Der Hacker hat mithilfe dessen seine Spuren gründlich verwischt.

Balancers Schuld?

In einem Tweet machte das Portofoliomanager-Unternehmen Hex_Capital Balancer den Vorwurf, eine Beschreibung der Sicherheitslücke, die schon im Mai im Rahmen eines Bugbounty-Programms (Kopfgeld auf gefundene Fehler und Schwachstellen) an sie gesendet worden sein soll, ignoriert und die Belohnung nicht ausgezahlt zu haben.

Mike McDonald, der Mitbegründer und CTO des Projektes, gestand ein, Fehler beim Überprüfen der Warnung gemacht und ihr zu wenig Beachtung geschenkt zu haben.

Wie geht es jetzt weiter für die Geschädigten?

Am Sonntag postete Balancer einen Tweet, indem angekündigt wurde, die Geschädigten voll zu vergüten.

After thorough discussions with the community, the Balancer Labs team decided that it will fully reimburse all the liquidity providers who lost funds in the attack of yesterday. We will also pay out the highest bug bounty available for @Hex_Capital

More details on the…
— Balancer Labs (@BalancerLabs) June 29, 2020

Außerdem wurde Hex_Capital die höchst mögliche Belohnung für die leider zu spät ernst genommene Beschreibung der Schwachstelle zugesprochen.

Erst am 23. Juni startete das Projekt die Ausgabe seines nativen Tokens BAL. Der Vorfall dürfte dem Projekt denkbar ungelegen kommen. Kurz nach Start des Tokens und im DeFi-Hype. Dennoch ist es das derzeit 4. / 5. (gleichauf mit Aave) größte DeFi-Projekt auf Ethereum.

Fazit

Es gibt leider immer wieder Hackerangriffe in der noch jungen experimentellen DeFi-Szene. Durch die gewonnenen Erkenntnisse sollten diese Probleme über die Zeit jedoch in den Griff zu bekommen sein. Das einerseits Negative, der oft große Schaden, wirkt auf der anderen Seite als starker Anreiz für eine schnelle und effektive Behebung der Fehler.

Empfohlene Beiträge

Crypto News DeFi

Das könnte dich auch interessieren

Altcoin News Crypto News

Entdecken Sie die führenden DeFi-Tokens: Ein umfassender Leitfaden

September 12, 2023

Altcoin News Blockchain Unternehmen Crypto News

Der dunkle Tag von DeFi: 24 Millionen US-Dollar durch Curve-Pool-Exploit verloren

Juli 31, 2023

Altcoin News Crypto News DeFi Finanznews

Top 10 DeFi Token, in die du im Jahr 2023 investieren solltest

Dezember 26, 2022

More from DeFi

Was sind die Top 10 Kryptowährungen für die nächsten 10 Jahre?

Posted On Juli 12, 2023

Steffen Rathmann 0

Was sind die Top 10 Kryptowährungen für die nächsten 10 Jahre? Wir stellen die besten Coins vor, in die man …

Ist Polygon (MATIC) der große Gewinner im Bärenmarkt?

Posted On Oktober 7, 2022

Steffen Rathmann 0

Kann Polygon (MATIC) in den nächsten Monaten im Bärenmarkt der große Gewinner unter den Kryptowährungen sein?

Diese DeFi-Projekte könnten 2023 durchstarten

Posted On September 24, 2022

Tim Ramminger 0

Decentralised Finance (DeFi) könnte der nächste Mega-Trend der nächsten Jahre werden. DeFi ist ermöglicht Finanzdienstleistungen, welche gänzlich auf der Blockchain …