WAS IST PASSIERT?
8.58 Uhr SGT (also ca. 2:58 morgens MEZ) am 18. April:
Ein Angreifer nutzte eine Schwachstelle bei Uniswap und ERC777, um eine Attacke durchzuführen.
Die Partner versuchen ihn zu patchen… Lendf.me sagt, alles ok… Tja…
09:28 Uhr (also ca. 3:30 morgens MEZ) am 19. April:
Tokenlon erhielt eine Nachricht von Lendf.me über einen Angriff, ähnlich wie bei Uniswap, der zu einer großen Anzahl anormaler Ausleihen auf der Plattform führte.
Das Kapital in dForce dropped um 99.9%!
Vergleich vergangener Angriffe
Dies ist lediglich einer von vielen Angriffen der letzten Monate und Jahre:
Wie lief der Hack ab? Stichwort: Reentrancy-Angriff (Wiedereintrittsangriff)!
Reentrancy-Angriffe ermöglichen es Hackern, in einer Schleife wiederholt Gelder abzuheben, bevor die ursprüngliche Transaktion genehmigt oder abgelehnt wird.
Die Ähnlichkeit zwischen Uniswap und Lendf.me besteht darin, dass beide Plattformen die gleichen 3 Protokolle nutzen:
- Lendf.me-Protokoll – ein von der dForce-Stiftung entwickeltes dezentralisiertes Finanzprotokoll (DeFi) zur Unterstützung von Kreditoperationen auf der Ethereum-Plattform.
- imBTC – ein Coin, der auf der Ethereum-Plattform läuft und im Verhältnis 1:1 mit der Bitcoin-Kryptowährung gedeckt wird.
- ERC-777 – eine der zugrunde liegenden Technologien der Ethereum-Blockchain, die Smart Contracts unterstützen soll (sowohl Lendf.me als auch imBTC laufen als solcher auf der Ethereum-Plattform).
Der Token-Standard ERC-777 hat – laut Tokenlon, dem Unternehmen hinter imBTC – keine Sicherheitslücken.
ABER: Die Kombination der Verwendung von ERC-777-Token und Uniswap/Lendf.me ermöglichte jedoch die Reentrancy-Angriffe.
Das Krasse: Es scheint, dass die Hacker einen im Juli 2019 von OpenZeppelin, einem Unternehmen, das Sicherheitsprüfungen für Krypto-Währungsplattformen durchführt, auf GitHub veröffentlichten Exploit verwendet haben.
Resultat: 25 Millionen Verlust
Derzeit wird angenommen, dass Uniswap zwischen 300.000 und 1,1 Millionen Dollar an Geldern verloren hat, während Lendf.me mehr als 24,5 Millionen Dollar verloren hat.
Eigentliches Problem:
Falsche Risiko / Nutzen Beurteilung von Turing-Komplett Smart Contract Plattformen, wo alles möglich ist – Gier frisst hier oft Hirn:
Lösungsansätze:
- Bessere Risikoeinschätzung der Nutzer
- Bessere Audits
- Kein Turing-Komplett DeFi? Bsp.: https://DeFiChain.io oder andere
Wie geht’s bei LendfMe weiter?
Verhandeln mit Hacker wegen Refund und Provision dafür:
Vertrauensaufbau wieder möglich?
Sehr viele Menschen haben durch diesen Hack ihr Geld verloren. Die spannende Frage wird jetzt sein, wie geht LendfMe damit um und wie reagieren die Member langfristig darauf?
Im Kryptobereich haben wir einige Hacks miterlebt, einige waren schnell vergessen und wurde schnell wieder Vertrauen aufgebaut. Wie zum Beispiel beim Hack von Binance. Binance hat da extrem schnell reagiert und alle Betroffenen wieder entschädigt, somit konnte sich Binance schnell wieder Vertrauen gewinnen. Hingegen gab es wie beim Mt. Gox einen Totalverlust…
Wie genau es jetzt weiter geht werden wir in den nächsten Tagen/Wochen erfahren.
Deine Meinung? Sollte “bad code must die” umgesetzt werden?
Cashflow aus Kryptowährungen sicher und geprüft – aber (noch) zentralisiert: https://cakedefi.com
Schau dir auch mal https://defichain.io für non-turing-komplettes DeFi an, wo solche Dinge in Zukunft nicht vorkommen sollten.
Mehr solcher Beiträge findest du auf
Linkedin: https://www.linkedin.com/in/julianhosp/
CAKE:https://cakedefi.com/
Julian
Leave a Reply