Böse Akteure plagen DeFi: Euler- und Poolz Finance-Exploits als neueste Beispiele

Mehr als 3,8 Milliarden US‑Dollar an digitalen Vermögenswerten – wenn nicht gemeldete Fälle berücksichtigt werden – gingen im letzten Jahr an verschiedene Gruppen bösartiger Akteure verloren, die Schlupflöcher in Smart‑Contract‑Plattformen ausnutzten. Der Chainalysis‑Bericht, der diese alarmierende Statistik hervorhob, wies zudem darauf hin, dass ein Großteil dieser Summe mit dem dezentralen Finanz‑ (DeFi‑) Bereich verbunden war und den Raum damit effektiv als Brutstätte von Angreifern bezeichnete. SlowMist, ein weiteres Blockchain‑Sicherheitsunternehmen, hob in seinem Jahresbericht über Krypto‑Sicherheitsvorfälle hervor, dass 2022 die höchste Anzahl von Sicherheitsvorfällen auf Blockchains verzeichnete. Insgesamt wurden 303 Fälle von kompromittierter Sicherheit gemeldet, ein Wert, der 28 % mehr als in den Vorjahren war. Gleichzeitig lag die Schätzung der aggregierten Verluste bei etwa 3,77 Milliarden US‑Dollar – eine nachvollziehbare Abweichung von anderen Berichten.

DeFi‑Exploits verlangsamen sich nicht

Der Bericht von SlowMist zeigte, dass die Exploits hauptsächlich Phishing und Rug‑Pulls betrafen, während Cross‑Chain‑Brücken stark getroffen wurden. Exploits auf den Ronin‑, Wormhole‑, Nomad‑ und Harmony‑Brücken führten zu Verlusten von über 1,2 Milliarden US‑Dollar. Zusätzlich zu Cross‑Chain‑Systemen nutzten Angreifer auch gerne DeFi‑Contract‑Schwachstellen. Die Branche schien gegen Ende des Jahres von dem weit verbreiteten Problem zu erholen.

Vergleich von Blockchain‑Verlusten. Quelle: SlowMist

CertiK beobachtete separat, dass die Diebstähle im Dezember mit 62,2 Millionen US‑Dollar die niedrigste monatliche Summe im Jahr 2022 darstellten, dem Jahr, in dem FTX Wallet und Ronin Bridge zusammen 1,09 Milliarden US‑Dollar an Krypto verloren. 15,5 Millionen US‑Dollar, fast ein Viertel der Summe der Krypto‑Diebstähle, wurden durch Exit‑Scams gestohlen, während Flash‑Loan‑Exploits Verluste von 7,6 Millionen US‑Dollar verursachten. Die Vorfälle im Dezember wurden von einem Verlust von 15 Millionen US‑Dollar bei Helio Protocol angeführt, der als Ketteneffekt des Preis‑Exploits von Ankr Reward Bearing Staked BNB (aBNBc) entstand. Die Smart‑Contract‑Audit‑Firma erläuterte zudem, dass der Angriff auf Defrost Finance’s V1‑ und V2‑Produkte zu einem Verlust von 12,9 Millionen US‑Dollar führte, der seitdem zurückerstattet wurde. Bitkeep verlor 8 Millionen US‑Dollar, ein interner Betrug ließ Ankr 7 Millionen US‑Dollar fehlen, und Lodestar verlor 6,5 Millionen US‑Dollar nach einem Exploit des Preises des plvGLP‑Tokens von PlutusDAO, um die Top‑fünf‑Hacks des letzten Monats zu vervollständigen.

Mitte März hat dieses Jahr bereits Anzeichen dafür gezeigt, die Häufigkeit von Exploits des Vorjahres zu übertreffen und die kumulierten an Hacker verlorenen Mittel.

Nicht-verwahrendes Lending: Euler Finance erleidet den größten Hack 2023

In einer jüngsten Darstellung dieser beunruhigenden Vorgänge haben Angreifer fast 200 Millionen US‑Dollar an Krypto‑Vermögenswerten vom Lending‑Protokoll Euler Finance am 13. März in einem inzwischen bestätigten Flash‑Loan‑Angriff abgezogen. CertiK Alerts, die mit CertiK verbundene Tracker‑Seite für Hacks und Betrugsfälle, gehörte zu den Ersten, die die Entwicklungen berichteten, obwohl zu diesem Zeitpunkt etwa 41 Millionen US‑Dollar bereits abgezogen worden waren. Die Alarmseite aktualisierte später, dass der Angreifer das Protokoll von dezentralen Stablecoins und synthetischen ERC‑20‑Token im Wert von rund 198 Millionen US‑Dollar in mehreren Transaktionen geleert hatte, darunter 96.800 ETH und 43,6 Millionen DAI, was es zum bislang größten DeFi‑Exploit dieses Jahres macht.

Die Akteure sendeten die gestohlenen Vermögenswerte an zwei Wallets – eine mit 34.186.225 DAI und 88.752 ETH und die andere mit etwa 88.775.07 DAI‑Token, wie on‑chain Daten zeigen. Das auf Ethereum basierende Protokoll erklärte, dass es Blockchain‑Sicherheitsteams, darunter TRM Labs, Chainalysis und andere Strafverfolgungsbehörden, eingeschaltet habe, um das Problem zu adressieren. PeckShield, das Euler auf die Entleerung aufmerksam gemacht hatte, teilte in einer weiteren kurzen Notiz mit, dass es die Ursache identifiziert habe. Der Angreifer nutzte gezielt einen Bug bei der Ausführung der Funktion ‘donateToReservers ()’, um sich aus dem Protokoll zu liquidieren, das Darlehen zurückzuzahlen und gleichzeitig einen Gewinn zu erzielen.

Euler behebt die Schwachstelle und arbeitet an der Wiederherstellung der gestohlenen Mittel

Die gemeinsamen Anstrengungen gelang es schließlich, den Exploit zu stoppen, indem das verwundbare Modul deaktiviert und damit Einzahlungen blockiert wurden, doch der Schaden hatte sich auf mehr als ein Dutzend weiterer Protokolle ausgebreitet. Balancer offenbart, dass der Vorfall den Boosted‑USD‑Pool (bbe‑USD) von Euler Finance betraf – fast zwei Drittel seines gesamten gesperrten Wertes wurden abgezogen, als die Entscheidung zur Pause umgesetzt wurde. Angle Protocol aktualisierte ebenfalls seine Follower über die Exposition gegenüber dem Exploit, da sein Kernmodul einige Mittel in Euler, Compound und Aave zugewiesen hat.

“Falls die Mittel aus dem Hack (17.614.940,03 USDC) definitiv verloren gehen würden, würde das TVL des Core‑Moduls auf etwa 18,4 Millionen US‑Dollar sinken. Falls die Mittel aus dem Hack (17.614.940,03 USDC) definitiv verloren gehen würden, würde das TVL des Core‑Moduls auf etwa 18,4 Millionen US‑Dollar sinken. In diesem Fall würde die Menge der Reserven im Core‑Modul unter den Wert der Ansprüche der agEUR‑Inhaber, der Standard‑Liquiditätsanbieter und der verbleibenden Hedging‑Agenten im Protokoll insgesamt fallen.”

Yearn Finance hat Berichten zufolge ebenfalls Mittel durch den Hack verloren. Sherlock, ein Audit‑Team mit früheren Verbindungen zu Euler, bestätigte die Ursache des Exploits. In seinen Berichten kritisierte das Team ein von der Gruppe WatchPug im Juli 2022 durchgeführtes Audit, das die Schwachstelle nicht erkannt hatte. Für die nächsten Wiederherstellungsschritte präsentierte das Lending‑Protokollteam dem/den Hacker(s) ein Angebot, eine Belohnung auszusetzen, falls die Täter nicht reagieren. Die genannte Belohnung von 1 Million US‑Dollar wurde seitdem öffentlich angekündigt.

“„Die Euler Foundation startet eine Belohnung von 1 Million US‑Dollar in der Hoffnung, dass dies zusätzlichen Anreiz für Informationen bietet, die zur Verhaftung des Angreifers des Euler‑Protokolls und zur Rückgabe aller vom Angreifer extrahierten Mittel führen.“”

Die Blockchain‑Visualisierungs‑ und Analyseplattform Meta Sleuth äußerte in einem Tweet, dass der Angriff mit einem früheren Angriff zusammenhänge, bei dem der Angreifer Mittel von der BNB Smart Chain (BSC) nach Ethereum über eine Multichain‑Brücke transferierte.

“„Es scheint, dass zwei Angreifer sechs Angriffs‑Transaktionen gestartet haben. Angreifer 0x5f25 startete den ersten Angriff und erzielte einen Gewinn von ca. 8,8 Mio DAI. Alle Gewinne verbleiben im Exploit‑Vertrag 0xebc2. Die anfängliche Finanzierung stammt von FixedFloat und dem Deflation‑Token‑Exploiter 6 auf BSC. Angreifer 0xb269 startete die anderen fünf Angriffe, und der Gesamtertrag beträgt ca. 186 Mio USD. Jetzt verbleiben alle Gewinne in zwei Adressen. 0xb269 hält 8.080 ETH, 0xb66cd hält 88.752 ETH und ca. 34 Mio DAI. Die anfängliche Finanzierung dieses Angreifers stammt von Tornado Cash,“”

Die Annahme wurde von einem weiteren Account, ZachXBT, bestätigt. Die mit den Exploits verbundenen Wallets und Adressen sind 0xebc291[…] cbf99, die etwa 8.877.507 DAI halten, 0xb269[…] cedd4, deren Snapshot ein Guthaben von 8.080,97 ETH zeigte, und 0xb66c […]995db, die ca. 88.753 ETH & 34.186.226 DAI hielten.

Web3‑Projekt‑Crowdfunding‑Plattform Poolz Finance ausgenutzt

Kaum zwei Tage nach dem Euler‑Vorfall stahl ein weiterer Hacker 390.000 US‑Dollar von der cross‑chain, Web3‑fokussierten Crowdfunding‑Launchpad Poolz Finance auf Polygon und Binance Smart Chain. Eine am 15. März veröffentlichte Überprüfung von PeckShield zeigte, dass die verdächtige Aktivität im Token‑Vesting‑Smart‑Contract auf ein ‚klassisches arithmetisches Überlauf‑Problem‘ zurückzuführen war. Poolz teilte ein Update zum Vorfall mit und riet den Nutzern, den Handel mit dem POOLZ‑Token einzustellen. Zusätzlich zur Markierung der fraglichen Adresse entfernte das Entwicklerteam der Launchpad die Liquidität von Pancakeswap und Uniswap.

Poolz Finance‑CEO Guy Oren bestätigte in einem Tweet die laufenden Bemühungen, einen neuen Token‑Contract zu starten, und prognostizierte, dass der Handel noch vor Tagesende live gehen soll. Bemerkenswert ist, dass die beiden Vorfälle erst einen Monat nach Platypus, einem anderen DeFi‑Protokoll, stattfanden, das in Höhe von 8,5 Millionen US‑Dollar ausgenutzt wurde, was zu einer kurzen De‑Pegging seines USP‑Stablecoin-Angebots vom US‑Dollar führte. Im Fall von Platypus nutzten die Akteure eine Lücke in der USP‑Solvenzprüfung aus, um das Protokoll zu leeren. Letzte Woche enthüllte Hedera, dass es technische Probleme gab, die einen Verlust von Liquiditätspool‑Token verdeckten, als ein Hacker den Mainnet‑Smart‑Contract‑Code ausnutzte.

Hedera und Dogecoin: Neuestes Beispiel für Schwachstellen in Blockchains

Der gesperrte Gesamtwert (TVL) von Hedera sank gegen Ende letzter Woche, nachdem das Netzwerk von technischen Schwierigkeiten getroffen wurde, die laut einigen Theorien einen Smart‑Contract‑Exploit beinhalteten. DeFi‑Llama‑Daten zeigen, dass der TVL der Plattform in weniger als 24 Stunden nach Berichten über technische Unregelmäßigkeiten, die mehrere dezentrale Anwendungen betrafen, stark zurückging.

Hedera‑TVL‑Diagramm. Quelle: DeFi Llama

Die HBAR Foundation, eine gemeinnützige Organisation, die das Hedera‑Projekt unterstützt, erklärte, dass das Netzwerk registriert sei mit Smart‑Contract‑Anomalien, die dezentrale Anwendungen betreffen.

Protokolle auf Hedera fordern Nutzer zur Vorsicht auf

Die technischen Unregelmäßigkeiten vom 10. März wurden von einigen als Angriff auf das unternehmensgerechte Netzwerk beschrieben, wodurch die darauf laufenden Protokolle nach Sicherheit suchten. SaucerSwap Labs, eine auf Hedera operierende dezentrale Börse (DEX), forderte seine Nutzer auf, ihre Liquidität sofort abzuheben, da der angebliche Exploit im Netzwerk stattfand. Das Protokoll bestätigte später, dass es von dem genannten Hack nicht betroffen war. Der Exploit zielte speziell auf den De‑Compiling‑Prozess von Hedera‑Smart‑Contracts ab, der dafür verantwortlich ist, den Bytecode des Vertrags in einen besser verständlichen, Solidity‑ähnlichen Code zu transformieren. Dieser ist nützlich, um die Funktionsweise eines Smart‑Contracts zu studieren und zu verstehen.

Dennoch können bösartige Akteure diesen Prozess manipulieren, um unautorisierten Zugriff auf den Smart‑Contract zu erlangen, obwohl die spezifischen Elemente, die der Angreifer in diesem Fall angeblich anvisierte, nicht vollständig verstanden sind. Zusätzlich teilte Hashport mit, dass es seine Bridging‑Dienste vorübergehend aussetzt wegen der Smart‑Contract‑Unregelmäßigkeiten, um die Sicherheit der Nutzer‑Funds zu gewährleisten. Die Multichain‑DEX Pangolin aufforderte die Nutzer, alle HTS‑Token in Pangolin‑Pools und -Farms zu verlassen. Hedera beschloss, mit den Akteuren im gesamten Ökosystem zusammenzuarbeiten, um die potenziellen Auswirkungen der Anomalie zu bestimmen. Um die Sicherheit seiner Nutzer weiter zu gewährleisten, deaktivierte Hedera Netzwerk‑Proxies im Mainnet, während das Kernteam die Smart‑Contract‑Unregelmäßigkeiten untersuchte, und stellte sie wieder her, nachdem die Probleme behoben waren. Es bestätigte, dass dieser Schritt die Konsens‑Mechanik nicht beeinträchtigte und das Mainnet weiterhin online ist.

Um mehr über Hedera zu erfahren, schauen Sie sich unseren Leitfaden Investieren in Hedera an.

Berichte heben Schwächen im DeFi‑Umfeld hervor

Ein aktueller Bericht des Blockchain‑Sicherheitsunternehmens Halborn enthüllte, dass bis zu 280 Chains, darunter Dogecoin, betrieben wurden, während sie eine kritische Schwachstelle aufwiesen. In einem Bericht vom 13. März warnte das Unternehmen, dass es die Schwachstelle in einer früheren Bewertung des Open‑Source‑Codebases des Dogecoin‑Netzwerks im Jahr 2022 identifiziert hatte.

Das Meme‑Coin‑Projekt teilte mit, dass es das potenzielle Zero‑Day‑Problem in seiner Core‑1.14.5‑Version behoben habe, nachdem es von Halborn, dessen Dienste es im März letzten Jahres in Anspruch genommen hatte, einen Hinweis erhalten hatte, seinen Code zu überprüfen.

Das Unternehmen identifizierte eine weitere Lücke in der RPC‑ (Remote Procedure Call) Remote‑Code‑Execution, die einzelne Miner auf Dogecoin betraf. Die Entwickler des Netzwerks haben seitdem die Nutzer aufgefordert, auf den 1.14.6‑Node zu aktualisieren. Halborn wies darauf hin, dass Litecoin und Zcash bemerkenswerte Netzwerke seien, die von anderen Varianten des behobenen Fehlers betroffen waren, die Betrüger und Ausbeuter hätten nutzen können, um gravierendere Bedrohungen auszuführen. Die beiden Projekte arbeiteten ebenfalls mit dem Sicherheitsunternehmen zusammen, um die großen Schwachstellen zu beheben.

Um mehr über diese Projekte zu erfahren, besuchen Sie unsere Leitfäden Investieren in Dogecoin und Investieren in Zcash.