Die dezentrale Finanz-App (DeFi) Steadefi wurde am 7. August bei einem laufenden Angriff für mindestens 334.000 US-Dollar ausgenutzt. Das Entwicklungsteam der App hat genannt In einem Social-Media-Beitrag heißt es, dass der Angriff derzeit „alle Gelder gefährdet“. Nach Angaben von DeFiLama ist der Total Value Locked (TVL) der App infolge des Angriffs stark gesunken.
Das Steadefi-Team veröffentlichte eine Nachricht auf Twitter, in der es hieß: „HINWEIS: Steadefi wurde ausgenutzt und alle Gelder sind derzeit gefährdet.“ Sie bestätigten außerdem, dass eine On-Chain-Nachricht an die Adresse 0x9cf71F2ff126B9743319B60d2D873F0E508810dc auf Ethereum gesendet wurde, um mit dem Angreifer zu verhandeln. Blockchain-Daten verrät dass ab 16:41 Uhr UTC eine Reihe großer Zuflüsse an dieser Adresse in der Avalanche-Kette eintrafen.
Zu den an die Adresse übertragenen Token gehören 130.429 US-Dollar Coin (USDC), 3,39 Bitcoin (BTC), 15 Wrapped Ether (WETH) und 6.184 Avalanche (AVAX). Abgesehen vom WETH wurden alle anderen Token sofort gegen WETH getauscht. Der mutmaßliche Angreifer also überbrückt 184 WETH über die Synapse-Brücke in ein anderes Netzwerk einbinden.
Die Adresse scheint auch zu haben durchgeführt eine ähnliche Reihe von Transaktionen im Arbitrum-Netzwerk.
Die Daten der Ethereum-Blockchain zeigen, dass das Entwicklungsteam dies getan hat gesendet eine Nachricht an den Angreifer, in der ihm angeboten wird, 10 % der angeblich gestohlenen Gelder zu behalten.
Verwandt: Curve-Vyper-Exploit: Die ganze Geschichte bisher.
Nachdem das Steadefi-Team den Angriff bestätigt hatte, veröffentlichte es eine Folgenachricht an X (ehemals Twitter). erklären wie es zu dem Angriff kam. Berichten zufolge hat der Angreifer den privaten Schlüssel zum Deployer-Wallet des Teams gestohlen und ihm so die Ausführung von OwnerOnly-Funktionen ermöglicht. Der Ausbeuter „ergriff dann verschiedene Maßnahmen, die nur den Eigentümern vorbehalten waren, wie zum Beispiel, dass jeder Geldbeutel in der Lage war, alle verfügbaren Gelder aus den Kredittresoren auszuleihen.“
Alle leihbaren Gelder wurden vom Angreifer abgezogen. Allerdings wurden in Tresoren aufbewahrte und nicht ausgeliehene Sicherheiten nicht abgezogen, da die App keine OwnerOnly-Funktion zum Entfernen von Einlagen enthält. Infolgedessen können Benutzer, die in die „Strategie“-Tresore eingezahlt haben, möglicherweise immer noch zumindest einen Teil ihres Geldes abheben.
Andererseits pausierte der Angreifer Farming-Verträge mithilfe einer OwnerOnly-Funktion. Daher können Benutzer, die svTokens oder ibTokens auf Farmen eingezahlt haben, keine Auszahlungen vornehmen, und ihre Gelder bleiben im Wesentlichen in den Verträgen der App stecken. Dem Beitrag zufolge haben die meisten Inhaber dieser Token auf den Farmen eingezahlt und können diese nicht abheben.
Exploits sind ein anhaltendes Problem im DeFi-Bereich. Am 8. August sagte das in Litauen ansässige Krypto-Zahlungsunternehmen CoinsPaid, dass Angreifer durch ein gefälschtes Vorstellungsgespräch 37 Millionen US-Dollar gestohlen hätten. Am 4. August wurde das Curve-Protokoll für 61 Millionen US-Dollar ausgenutzt, obwohl der Angreifer später damit begann, einen Teil der Gelder zurückzugeben.