Innerhalb weniger Tage wurde das auf Ethereum (ETH) basierende Protokoll bZx zweimal angegriffen. Die Hacker erbeuteten insgesamt umgerechnet knapp eine Million US-Dollar in ETH. Ein schwerer Rückschlag für Dezentralized Finance (DeFi)?
Vergangene Woche nutze ein Angreifer Schwächen in bZx, einem auf Ethereum (ETH) basierenden Protokoll für Dezentralized Finance (DeFi), aus, um 1.193 ETH zu stehlen. Deren Wert lag zum Zeitpunkt des Diebstahls bei rund 350.000 US-Dollar.
Ethereum (ETH)-DeFi-Protokoll zweimal ausgeraubt
Kyle J. Kistner, CVO von bZx, veröffentlichte am Montag ein “Post-Mortem“, in dem er den genauen Ablauf der Attacke und ihre Auswirkungen darstellte. Kistners Kernbotschaft: “Kein Nutzer hat Einlagen verloren oder wird Einlagen verlieren. Einlagen sind SICHER.” Der ausgefeilte Plan des Angreifers sei folgendermaßen umgesetzt worden:
- Ein Blitz-Kredit von dYdX für 10.000 ETH wurde eröffnet.
- 5500 ETH wurden an Compound geschickt, um einen Kredit von 112 wBTC zu besichern.
- 1300 ETH wurden an den Fulcrum pToken sETHBTC5x geschickt, um eine 5-fache Short-Position gegen das ETHBTC-Verhältnis zu eröffnen.
- 5637 ETH wurde ausgeliehen und über die Uniswap-Reserve von Kyber an 51 WBTC getauscht, was zu einem großen Abrutschen führte.
- Der Angreifer tauschte die 112 WBTC, die er von Compound geliehen hatte, gegen 6871 ETH auf Uniswap, was zu einem Gewinn führte.
- Der Blitz-Kredit von 10.000 ETH von dYdX wurde aus dem Erlös zurückgezahlt.
Mit diem Post-Mortem-Bericht sollte die Sache wohl abgeschlossen sein, doch ironischerweise erfolgte nur wenige Stunden nach der Veröffentlichung sogleich der nächste Angriff. Dabei erbeutete ein Hacker nahezu doppelt so viel wie bei der ersten Attacke, namentlich 2.388 ETH im Wert von rund 645.000 US-Dollar.
bZx stoppt Plattform fürs Erste
Als Reaktion auf den zweiten Angriff zog das bZx-Team die Konsequenz, vorerst den “Pause-Knopf” für das Protokoll zu drücken. Ein Twitter-Nutzer namens James machte auf die Ironie aufmerksam, dass ein vorgeblich dezentrales System sich einfach so ohne weiteres stoppen lässt:
“#SmartContracts so clever, dass unsere Entwickler jederzeit auf Pause drücken können, wann immer wir wollen! #DeFi das Geschenk, das immer weiter gibt!”
#SmartContracts So smart in fact, that our devs can press pause whenever the fuck we want! ?? #DeFi the gift that keeps on giving! ?? pic.twitter.com/63arCtjiXl
— James ?⚡☣ (@jbhoz) February 18, 2020
Dabei zeigen sich Parallelen zu IOTA, der wohl bekanntesten Kryptowährung mit Hauptsitz in Deutschland (Berlin). Vergangene Woche war Trinity, die von der IOTA Foundation selbst entwickelte Wallet, gehackt worden. Angreifer erbeuteten bis zu 1,2 Millionen US-Dollar. Das Tangle (IOTAs Alternative zur Blockchain) verarbeitet seitdem keine Transaktionen, die einen Geldwert übertragen. Die Entwickler konnten das ganz einfach durch Abschalten des Koordinators bewirken.
Glaubst Du, dass DeFi eine zukunftsträchtige Branche ist oder liegt der große Erfolg für diese Sparte noch in weiter Ferne? Schreib uns Deine Gedanken dazu in die Kommentarspalte!
© Bild via Richard Patterson, Flickr.com, Lizenz, Comparitech