Kwaadaardige actoren blijven DeFi achtervolgen: Euler- en Poolz Finance-exploits nieuwste voorbeelden

Meer dan $3,8 miljard aan digitale activa – rekening houdend met niet-gemelde gevallen – is vorig jaar verloren gegaan aan verschillende groepen kwaadaardige actoren die misbruik maakten van hiaten in smart‑contractplatformen. Het Chainalysis‑rapport dat deze alarmerende statistiek belichtte, wees bovendien erop dat het grootste deel van dit bedrag verband hield met de gedecentraliseerde financiële (DeFi) niche, waardoor de ruimte effectief werd bestempeld als een broedplaats voor aanvallers. SlowMist, een ander blockchain‑beveiligingsbedrijf, benadrukte in haar jaarlijkse rapport over crypto‑beveiligingsincidenten dat 2022 het hoogste aantal beveiligingsincidenten op blockchains zag. In totaal werden 303 gevallen van gecompromitteerde beveiliging gerapporteerd, een cijfer dat 28 % hoger lag dan de voorgaande jaren. Ondertussen kwam de schatting van de totale verliezen uit op ongeveer $3,77 miljard – een gerechtvaardigd verschil ten opzichte van andere rapportages.

DeFi‑exploits vertragen niet

Het rapport van SlowMist gaf aan dat de exploits voornamelijk phishing en rug pulls betroffen, terwijl cross‑chain bruggen zware klappen kregen. Exploits op de Ronin-, Wormhole-, Nomad- en Harmony‑bruggen leidden tot verliezen van meer dan $1,2 miljard. Naast cross‑chain systemen maakten aanvallers ook graag misbruik van DeFi‑contractkwetsbaarheden. De sector leek tegen het einde van het jaar te herstellen van het wijdverspreide probleem.

Vergelijking van blockchain‑verliezen. Bron: SlowMist

CertiK merkte afzonderlijk op dat de diefstallen van $62,2 miljoen in december het laagste maandelijkse cijfer in 2022 waren, het jaar waarin FTX Wallet en Ronin Bridge gezamenlijk $1,09 miljard aan crypto verloren. $15,5 miljoen, bijna een kwart van het totaal aan crypto‑diefstallen, werd gestolen via exit‑scams, terwijl flash‑loan‑exploits verliezen van $7,6 miljoen veroorzaakten. De incidenten in december werden geleid door het verlies van $15 miljoen bij Helio Protocol als gevolg van een prijs‑exploit van Ankr Reward Bearing Staked BNB (aBNBc). Het smart‑contract‑auditbureau gaf ook aan dat de aanval op Defrost Finance’s V1‑ en V2‑producten leidde tot een verlies van $12,9 miljoen, dat sindsdien is terugbetaald. Bitkeep verloor $8 miljoen, een interne fraude liet Ankr $7 miljoen tekortkomen, en Lodestar verloor $6,5 miljoen na een exploit van de prijs van PlutusDAO’s plvGLP‑token, waarmee de top vijf hacks van de afgelopen maand werd voltooid.

Halverwege maart vertoonde dit jaar al tekenen van een hogere frequentie van exploits dan vorig jaar en van een cumulatief hoger bedrag dat aan hackers is verloren.

Non‑custodial lending Euler Finance lijdt onder de grootste hack van 2023

In een recent voorbeeld van deze verontrustende gebeurtenissen, hebben aanvallers bijna $200 miljoen aan crypto‑activa van het leenprotocol Euler Finance op 13 maart afgevoerd in een inmiddels bevestigde flash‑loan‑aanval. CertiK Alerts, de hacks‑en‑scams‑trackerpagina gekoppeld aan CertiK, was een van de eersten die de ontwikkelingen rapporteerde, hoewel op dat moment ongeveer $41 miljoen was weggehaald. De alert‑pagina gaf later aan dat de aanvaller het protocol had leeggepompt van gedecentraliseerde stablecoins en synthetische ERC‑20‑tokens ter waarde van ongeveer $198 miljoen in meerdere transacties, waaronder 96.800 ETH en 43,6 miljoen DAI, waardoor het de grootste DeFi‑exploit van dit jaar is.

De aanvaller(s) stuurden de gestolen activa naar twee wallets – één met 34.186.225 DAI en 88.752 ETH en de andere met ongeveer 88.775.07 DAI‑tokens, volgens on‑chain gegevens. Het op Ethereum gebaseerde protocol meldde dat het blockchain‑beveiligingsteams, waaronder TRM Labs, Chainalysis en andere wetshandhavingsinstanties, had ingeschakeld om de kwestie aan te pakken. PeckShield, die Euler waarschuwde voor de leegloop, deelde in een korte notitie dat het de oorzaak had geïdentificeerd. De aanvaller maakte specifiek misbruik van een bug bij het uitvoeren van de functie ‘donateToReservers()’ om zichzelf uit het protocol te liquideren, de lening terug te betalen en tegelijkertijd een flinke winst te behalen.

Euler pakt de kwetsbaarheid aan, werkt aan het terughalen van gestolen fondsen

De gezamenlijke inspanningen slaagden er uiteindelijk in de exploit te stoppen door de kwetsbare module uit te schakelen en daardoor stortingen te blokkeren, maar de schade had zich uitgebreid tot meer dan een dozijn andere protocollen. Balancer onthulde dat het incident Euler Finance’s Boosted USD (bbe‑USD)‑pool trof – bijna twee‑derde van de totale vergrendelde waarde werd weggepompt toen de beslissing om deze te pauzeren werd uitgevoerd. Angle Protocol informeerde ook haar volgers over de blootstelling aan de exploit, aangezien haar kernmodule enkele fondsen had toegewezen in Euler, Compound en Aave.

“Als de fondsen van de hack (17.614.940,03 USDC) definitief verloren zouden gaan, zou de TVL van de Core‑module dalen tot ongeveer $18,4 m. Als de fondsen van de hack (17.614.940,03 USDC) definitief verloren zouden gaan, zou de TVL van de Core‑module dalen tot ongeveer $18,4 m. In dit geval zou de hoeveelheid reserves in de Core‑module lager zijn dan de waarde van de vorderingen van agEUR‑houders, van standaard liquiditeitsverschaffers en van de resterende hedge‑agenten in het protocol als geheel.”

Yearn Finance zou volgens berichten ook fondsen hebben verloren door de hack. Sherlock, een auditteam met eerdere banden met Euler, bevestigde de oorzaak van de exploit. In haar rapporten gaf het team een audit van een andere groep, WatchPug, in juli 2022 de schuld omdat de kwetsbaarheid niet werd geïdentificeerd. Voor de volgende herstelstappen presenteerde het leenprotocolteam een soort aanbod aan de hacker(s), waarbij werd beloofd een bounty uit te schrijven als de daders niet reageerden. De genoemde beloning van $1 miljoen is sindsdien publiekelijk aangekondigd.

““Euler Foundation lanceert een beloning van $1 M in de hoop dat dit extra stimulans biedt voor informatie die leidt tot de arrestatie van de aanvaller van het Euler‑protocol en de teruggave van alle door de aanvaller onttrokken fondsen,” schreef Euler vandaag.

Blockchain‑visualisatie‑ en analyseplatform Meta Sleuth stelde in een tweet dat de aanval verband houdt met een eerdere aanval waarbij de aanvaller fondsen van de BNB Smart Chain (BSC) naar Ethereum overbracht via een multichain‑bridge.

““Het lijkt erop dat twee aanvallers zes aanvalstransacties hebben uitgevoerd. Aanvaller 0x5f25 lanceerde de eerste aanval en behaalde een winst van ~8,8 M DAI. Alle winsten blijven in het exploit‑contract 0xebc2. De initiële financiering komt van FixedFloat en deflation‑token‑exploiter 6 op BSC. Aanvaller 0xb269 lanceerde de overige vijf aanvallen, en de totale winst bedraagt ~186 M USD. Nu blijven alle winsten in twee adressen. 0xb269 bezit 8.080 ETH, 0xb66cd bezit 88.752 ETH en ~34 M DAI. De initiële financiering van deze aanvaller komt van Tornado Cash,” theoriseerde het account.”

De hypothese kreeg steun van een ander account, ZachXBT. De wallets en adressen die met de exploits verbonden zijn, zijn 0xebc291[…] cbf99 met ongeveer 8.877.507 DAI, 0xb269[…] cedd4 waarvan een snapshot een saldo van 8.080,97 ETH liet zien, en 0xb66c […]995db die ongeveer 88.753 ETH en 34.186.226 DAI bevatte.

Web3‑projecten crowdfunding‑platform Poolz Finance geëxploiteerd

Slechts twee dagen na het Euler‑incident stal een andere hacker $390.000 van de cross‑chain, op Web3 gerichte crowdfunding‑launchpad Poolz Finance op Polygon en Binance Smart Chain. Een review van PeckShield op 15 maart gaf aan dat de verdachte activiteit in het token‑vesting‑smart‑contract duidde op een ‘klassiek rekenkundige overflow‑probleem’ als oorzaak. Poolz deelde een update over het incident en adviseerde gebruikers om te stoppen met het handelen in de POOLZ‑token. Naast het markeren van het betreffende adres, verwijderde het launchpad‑devteam ook liquiditeit van Pancakeswap en Uniswap.

Poolz Finance‑CEO Guy Oren bevestigde in een tweet de voortdurende inspanningen om een nieuw token‑contract te lanceren, met de verwachting dat de handel vóór het einde van de dag live zou gaan. Opmerkelijk is dat de twee incidenten minder dan een maand na Platypus plaatsvinden, een ander DeFi‑protocol dat werd geëxploiteerd voor $8,5 miljoen, wat leidde tot een korte de‑peg van zijn USP‑stablecoin ten opzichte van de USD. In het geval van Platypus maakten de actoren misbruik van een lek in de USP‑solvabiliteitscontrole om het protocol leeg te pompen. Vorige week onthulde Hedera dat het technische problemen had ondervonden die een verlies van liquiditeitspool‑tokens verhuilden toen een hacker de mainnet‑smart‑contractcode exploiteerde.

Hedera en Dogecoin: nieuwste voorbeeld van kwetsbaarheden in blockchains

Hedera’s totale vergrendelde waarde (TVL) kelderde tegen het einde van vorige week nadat het netwerk werd getroffen door technische moeilijkheden waarvan sommigen dachten dat ze verband hielden met een smart‑contract‑exploit. DeFi Llama‑gegevens tonen aan dat de TVL van het platform in minder dan 24 uur sterk daalde na meldingen dat de keten technische onregelmatigheden ondervond die verschillende gedecentraliseerde applicaties troffen.

Hedera TVL‑grafiek. Bron: DeFi Llama

De HBAR Foundation, een non‑profit die het Hedera‑project ondersteunt, meldde dat het netwerk was geregistreerd met smart‑contract‑anomalieën die gedecentraliseerde applicaties beïnvloeden.

Protocollen op Hedera roepen gebruikers op voorzichtig te zijn

De technische onregelmatigheden van 10 maart werden door sommigen beschreven als een aanval op het enterprise‑grade netwerk, waardoor protocollen erop moesten rennen voor veiligheid. SaucerSwap Labs, een gedecentraliseerde exchange (DEX) die op Hedera opereert, riep haar gebruikers op om hun liquiditeit onmiddellijk terug te trekken vanwege de vermeende exploit die op het netwerk plaatsvond. Het protocol bevestigde later dat het niet getroffen was door de genoemde hack. De exploit richtte zich specifiek op het decompilatieproces van Hedera‑smart‑contracts, dat verantwoordelijk is voor het omzetten van de bytecode van het contract naar een beter begrijpelijke Solidity‑achtige code. Dit is nuttig voor het bestuderen en begrijpen van de werking van een smart‑contract.

Desondanks kunnen kwaadaardige actoren dit proces ook manipuleren om ongeautoriseerde toegang tot het smart‑contract te verkrijgen, hoewel de specifieke elementen die de aanvaller naar verluidt in dit geval targette niet volledig begrepen zijn. Bovendien meldde Hashport dat het tijdelijk haar bridging‑diensten opschortte vanwege de smart‑contract‑onregelmatigheden, om de veiligheid van gebruikersfondsen te waarborgen. Multichain‑DEX Pangolin riep gebruikers op om alle HTS‑tokens in Pangolin‑pools en -farms te verlaten. Hedera besloot samen te werken met de partijen in het ecosysteem om de potentiële impact van de anomalie te bepalen. Om de veiligheid van haar gebruikers verder te garanderen, schakelde Hedera netwerk‑proxy’s op het mainnet uit terwijl het kernteam de smart‑contract‑onregelmatigheden onderzocht, en herstelde deze nadat de problemen waren opgelost. Het bevestigde dat deze stap de consensus niet beïnvloedde en dat het mainnet online blijft.

Om meer te weten te komen over Hedera, bekijk onze Investeren in Hedera gids.

Rapporten benadrukken zwaktes in de DeFi‑scene

Een recent rapport van blockchain‑beveiligingsbedrijf Halborn onthulde dat maar liefst 280 ketens, waaronder Dogecoin, operationeel zijn terwijl ze een kritieke kwetsbaarheid dragen. In een rapport van 13 maart waarschuwde het bedrijf dat het de kwetsbaarheid had geïdentificeerd in een eerdere beoordeling van de open‑source codebase van het Dogecoin‑netwerk in 2022. Het meme‑coin‑project deelde dat het het potentiële zero‑day‑trigger‑probleem in zijn Core‑1.14.5‑release had opgelost na een tip van Halborn, wiens diensten het afgelopen maart had afgenomen, om zijn codebase te herzien.

Het bedrijf identificeerde een andere opening in de RPC (Remote Procedure Call) remote code execution die individuele miners op Dogecoin trof. De ontwikkelaars van het netwerk hebben sindsdien gebruikers aangespoord om te updaten naar de 1.14.6‑node. Halborn gaf aan dat Litecoin en Zcash opmerkelijke netwerken waren die werden getroffen door andere varianten van de gepatchte bug, die fraudeurs en exploiters hadden kunnen benutten om ernstigere bedreigingen uit te voeren. Ook de twee projecten werkten met het beveiligingsbedrijf samen om de grote kwetsbaarheden aan te pakken.

Om meer te weten te komen over deze projecten, bezoek onze Investeren in Dogecoin‑ en Investeren in Zcash‑gidsen.