Einem White-Hat-Hacker ist es im Rahmen des jüngsten Hacks gelungen, einem Exploiter rund 2.879 Ether (ETH) im Wert von rund 5,4 Millionen US-Dollar zu entwenden und an das dezentrale Finanzprotokoll (DeFi) Curve Finance zurückzugeben.
Am 30. Juli wurden mehrere Stablepools auf Curve Finance aufgrund fehlerhafter Wiedereintrittssperren in mehreren Versionen der Programmiersprache Vyper ausgenutzt. Die Verluste von Curve Finance werden auf rund 47 Millionen US-Dollar geschätzt. Allerdings wurden auch DeFi-Protokolle ausgenutzt, die die anfälligen Versionen von Vyper nutzten, was das DeFi-Ökosystem einem Stresstest aussetzte.
#PeckShieldAlert c0ffeebabe.eth hat 2.879 zurückgegeben $ETH (~5,4 Millionen US-Dollar) bis #Kurve Bereitsteller https://t.co/33BJLaq12A pic.twitter.com/2Jq0JOsrhV
— PeckShieldAlert (@PeckShieldAlert) 31. Juli 2023
Am selben Tag beschlagnahmte ein ethischer Hacker einige der gestohlenen Vermögenswerte und ist zurückgekommen sie an Curve Finance. Ein MEV-Bot-Betreiber mit dem Benutzernamen „c0ffeebabe.eth“ setzte einen Front-Running-Bot gegen einen böswilligen Hacker ein, um fast 3.000 ETH zu sichern. Die Gelder wurden dann an die Adresse des Curve-Bereitstellers zurückgeschickt, bei der es sich offenbar um die rechtmäßige Depotbank handelt.
Inmitten des Chaos bewerben Twitter-Konten, die sich als Curve Finance- und Hack-Opfer ausgeben, ein gefälschtes Rückerstattungssystem, das sich an diejenigen richtet, die bei dem jüngsten Hack bereits ihr Geld verloren haben. Der offizielle Account von Curve Finance hat zum Zeitpunkt des Verfassens dieses Artikels keine Pläne für eine Rückerstattung veröffentlicht.
Unterdessen wurde BNB Smart Chain aufgrund der Vyper-Schwachstelle Opfer von Nachahmerangriffen. Nach Angaben des Blockchain-Sicherheitsunternehmens BlockSec wurden bei drei Exploits rund 73.000 US-Dollar gestohlen.
Verwandt: Ethereum verzeichnet aufgrund des Curve-Finance-Exploits eine Blockbelohnung in Höhe von 1 Mio. USD MEV
Unterdessen hat die US-amerikanische Börsenaufsicht SEC (Securities and Exchange Commission) neue Regeln für Cybersicherheitsvorfälle erlassen, an denen öffentliche Unternehmen in den USA beteiligt sind. Die Regel verlangt von diesen Unternehmen, einen Cyberangriff vier Tage, nachdem er als „wesentlich“ eingestuft wurde, offenzulegen. Nach Angaben der SEC wird die Regel auch eine regelmäßige Berichterstattung über Richtlinien zur Identifizierung und Bewältigung von Cybersicherheitsrisiken erfordern.
Zeitschrift: Sollten Kryptoprojekte jemals mit Hackern verhandeln? Wahrscheinlich