DeFi ist der jüngste große Hype in der Kryptowelt. Kreditvergabe, Versicherungen oder Kapital leihen, soll der Nutzer künftig ohne Mittelsmänner machen können. Die Entwicklung läuft auf Hochtouren. Doch wird das noch junge Segment immer wieder von Pannen und Hacks heimgesucht.
Am Wochenende ist es einem Hacker gelungen, Coins und Token im Wert von rund 25 Mio. $ von den DeFi Plattformen Lendf.Me, welche ein Bestandteil des dForce Netzwerkes ist, und Uniswap zu entwenden. Der Hacker nutzte bei beiden eine Schwachstelle aus, die entsteht, wenn einzelne geprüfte und eigentlich sichere Module in einer ungünstigen Art und Weise zusammenarbeiten.
Der Hacker führte einen sogenannten Wiedereintrittsangriff (reentry attack) durch. Dabei wird eine Funktion immer wieder aufgerufen, ohne dass wichtige Zustände aktualisiert werden. Sind die zusammenarbeitenden Module so verknüpft, dass der Hacker daraus einen Vorteil erzielen kann, kann es eben zu so einem Hack, wie dem besagten, kommen. Eine wichtige Rolle bei diesem Angriff spielte auch der Tokenstandard ERC-777, weil er diese Wiedereintritte zulässt. Am 18. April schlug der Hacker zuerst bei Uniswap zu, wo er eine relativ geringe Summe von rund 500.000 $ erbeuten konnte. Kurze Zeit später startete dann der Angriff auf Lendf.Me mit einer erbeuteten Summe von rund 24,5 Mio. $.
Beim Angriff auf Lendf.Me nutzte der Hacker den auf Ethereum laufenden Bitcoin-Stablecoin “imBTC” als Pfand, um sich andere Token zu leihen. Durch die Manipulation wurde die Anzahl der imBTC als Pfand nicht abgezogen, obwohl er sich bereits Token / Coins geliehen hat. So hatte er bei jedem Wiedereintritt in den Smart Contract seine vollen imBTC als Pfand zur Verfügung, mit dem er so lange Coins und Token auslieh und extrahierte, bis die Pools leer waren. Der ganze Prozess findet in einer Transaktion bzw. in einem Block statt. Eine genaue Beschreibung der Vorgänge ist hier zu finden.
Eine Liste der erbeuteten Token und Coins:
Lendf.Me hatte Glück im Unglück
Lendf.Me informierte umgehend alle bedeutsamen Kryptobörsen und die Polizei. Die Token kamen auf eine schwarze Liste und der Verkauf wurde dem Hacker deutlich erschwert. Es dauerte nicht lange, da nahm der Angreifer Kontakt mit seinem Opfer auf und es kam zu einer Übereinkunft.
In zwei Transaktionen hat der Hacker das gesamte Kapital im Wert von rund 24,3 Mio. $ an dForce zurücküberwiesen. Offenbar sind die restlichen Token beim Konvertieren in andere Coins verloren gegangen. Oder aber es gab eine geheime Übereinkunft über eine Belohnung. Jedenfalls können die Nutzer wieder aufatmen. Lendf.Me hat die Coins gesichert und angekündigt den Schaden vollständig zu vergüten. Die Plattform bleibt vorerst offline. Interessant an der Geschichte ist, dass dieser Angriff bereits im letzten Jahr von OpenZeppelin auf Github beschrieben wurde.
DeFi am Ende?
DeFi ist nach wie vor ein heikles Thema. Die großen Summen, die in den Smart Contracts gespeichert sind, sind ein Honigtopf für eine Vielzahl von Hackern. Auf der einen Seite führt dies zu teilweise hohen Verlusten, auf der anderen Seite sorgt dies für schnelle Entwicklung und Verbesserung.
Der Vorfall zeigt auch, dass in sich sichere Module nicht ausreichen, um eine sichere Komposition aus diesen zu erstellen. Funktionale Programmiersprachen wie Haskell sind ein großes Thema in der Kryptowelt. Diese sollen Fehler durch bewährte Funktionen verhindern. Der Vorfall zeigt jedoch, dass es mit sicheren Funktionen bzw. Komponenten nicht getan ist am Ende.
Am Vorfall sieht man auch, dass Dezentralität nicht unbedingt das bringt, was sich viele davon erhoffen. Die Autoritäten können in Zusammenarbeit mit Kryptobörsen Token und Coins verfolgen und ggf. einfrieren. Der einzige Vorteil, der nach wie vor vollumfänglich erhalten bleibt, ist die Transparenz und Prüfbarkeit der Vorgänge auf der Blockchain. Die staatliche Kontrolle hält mehr und mehr Einzug. In diesem Fall zugunsten der Geschädigten.
Bei EOS wurden möglicherweise auftretende Diebstähle und Pannen bei der Planung berücksichtigt. Eine schwarze Liste, ein Gericht (ECAF) und die Möglichkeit im Schadensfall seine Coins zurückzubekommen, waren bei dem Start des Mainnets als Standard implementiert. Die Community hat diese Konzepte jedoch ziemlich schnell über den Haufen geworfen.
Erst im Februar wurde eine Schwachstelle in einem Flashloan ausgenutzt (rund 360.000 Euro Schaden) und beim Megacrash der Kryptowährungen am 12. März ging die Funktionskette wegen Überlastung der MakerDAO in die Knie (rund 5 Mio. $ Schaden). Das Thema DeFi ist nach wie vor mit Vorsicht zu genießen und es wird wohl noch einige Zeit ins Land ziehen, bis man ein ausreichendes Maß an Sicherheit erreicht hat. Was man sicher sagen kann, DeFi wird von Rückschlägen nicht aufzuhalten sein und sich stetig verbessern, auch wenn die Tatsache, dass die Schwachstelle schon bekannt war, einen bitteren Beigeschmack hinterlässt.
