Das dezentrale Finanzprotokoll (DeFi) Sturdy Finance hat durch eine Sicherheitslücke 442 Ether (ETH) verloren, die zum Zeitpunkt des Schreibens fast 800.000 US-Dollar wert waren. Der Angreifer nutzte eine Schwachstelle aus, die schließlich ein fehlerhaftes Preisorakel manipulierte und es ihm ermöglichte, Gelder aus dem Protokoll abzuheben.
Am 12. Juni hat das Blockchain-Sicherheitsunternehmen PeckShield alarmiert Sturdy Finance meldete eine Transaktion, die offenbar im Zusammenhang mit Preismanipulationen stand. Fast eine Stunde später teilte das DeFi-Protokoll mit, dass man sich des Exploits bewusst sei und reagierte, indem es alle seine Märkte pausierte und seinen Nutzern versicherte, dass keine zusätzlichen Gelder gefährdet seien.
Uns ist der gemeldete Exploit des Sturdy-Protokolls bekannt. Alle Märkte wurden pausiert; Derzeit sind keine zusätzlichen Mittel gefährdet und es sind keine Benutzeraktionen erforderlich.
Wir werden weitere Informationen weitergeben, sobald wir sie haben.
– Robust (@SturdyFinance) 12. Juni 2023
Trotz der schnellen Reaktion der DeFi-Kreditplattform PeckShield bestätigt dass der Angreifer fast 800.000 US-Dollar in ETH an den sanktionierten Krypto-Mixer Tornado Cash überweisen konnte. Das Sicherheitsunternehmen stellte außerdem fest, dass die „Grundursache“ des Exploits ein fehlerhaftes Preisorakel sei.
Darüber hinaus betonte das Blockchain-Sicherheitsunternehmen BlockSec, dass der Hack durch einen Wiedereintrittsangriff erfolgt sei, eine gängige Methode, mit der Hacker Gelder aus DeFi-Protokollen abheben.
1/ @SturdyFinance wurde angegriffen und der Verlust beträgt ~442 ETH. Die Hauptursache liegt in der schreibgeschützten Wiedereintrittsfähigkeit des typischen Balancers, während der Preis von B-stETH-STABLE manipuliert wurde! pic.twitter.com/5l9mVfhpQN
— BlockSec (@BlockSecTeam) 12. Juni 2023
Mit dieser Methode nutzen Hacker die Möglichkeit, eine Funktion in einer einzelnen Transaktion wiederholt aufzurufen, bevor der erste Funktionsaufruf abgeschlossen ist. Dadurch können Hacker mehr Geld abheben, als ihnen erlaubt ist.
Verwandt: Atomic Wallet-Hacker sendet Krypto an den von der Lazarus Group verwendeten Mixer: Elliptic
In der Zwischenzeit konnten Betrüger die Kontrolle über acht Twitter-Konten prominenter Mitglieder der Krypto-Community übernehmen und Krypto-Betrügereien fördern. Laut Blockchain-Detektiv ZachXBT haben die Betrüger Kryptowährungen im Wert von fast 1 Million US-Dollar gestohlen, nachdem sie die Kontrolle über die Konten von DJ Steve Aoki, Pudgy Penguins-Gründer Cole Villemain und sogar des Krypto-Hassers Peter Schiff übernommen hatten.
Darüber hinaus hat das US-Justizministerium kürzlich zwei Männer angeklagt, die angeblich am Mt. Gox-Hack beteiligt waren. Nach Angaben der Abteilung sollen der 43-jährige Alexey Bilyuchenko und der 29-jährige Aleksandr Verner 647.000 Bitcoin (BTC) gestohlen und sich verschworen haben, um diese zu waschen.
Zeitschrift: 3,4 Milliarden Dollar in Bitcoin in einer Popcorndose – die Geschichte des Silk Road-Hackers