Wie Deus Finance für $13.4M ausgenutzt wurde

Dezentralisierte Finanzanwendung (DeFi) Deus Finance wurde zum zweiten Mal innerhalb von zwei Monaten genutzt. Laut Sicherheitsforschern von heute konnten die Angreifer in den frühen asiatischen Stunden Kryptowährungen im Wert von über $13,4 Millionen erhalten PeckShield. Der Exploit ereignete sich im Fantom-Netzwerk. Nach zahlreichen Berichten von PeckShield konnte das Team hinter dem Fantom-Netzwerk die Ausnutzung identifizieren und eindämmen. Es gab jedoch Bedenken hinsichtlich der Verwendbarkeit von DeFi-Protokollen aufgrund ihrer Anfälligkeit für Angriffe wie diese, bei denen sich eine große Menge an Kryptowährung befindet verirrt. Auch die Tatsache, dass es sich nicht um einen Einzelfall handelt, sollte Anlass zur Sorge geben

Deus Finance ist ein DeFi-Protokoll, das auf dem Fantom-Netzwerk aufbaut. Es ermöglicht Benutzern, Zinsen auf ihre Kryptowährungsbestände zu verdienen, indem sie sie in das Protokoll einsetzen. Die Zinssätze sind variabel und hängen von der Höhe der eingesetzten Währung ab. Deus Finance ermöglicht es Entwicklern, Finanzdienstleistungen wie Terminhandel, Kreditvergabe und Optionen auf seiner Plattform aufzubauen.

Die Angreifer konnten einen Fehler im Deus Finance-Protokoll ausnutzen und neue Token prägen, ohne irgendwelche zu staken. Der Angriff nutzte ein Flash-Darlehen, um die Art und Weise auszutricksen, wie die Smart Contracts von Deus Daten in den Liquiditätspools der Plattform lesen. Dies ermöglichte es dem Angreifer, den Wert einiger Vermögenswerte künstlich zu erhöhen, Gelder zu leihen und nach der Rückzahlung des Darlehens einen Gewinn zu erzielen.

Etwa $143 Millionen wurden als Flash-Darlehen geliehen, wie Blockchain-Daten zu zeigen scheinen. Der Hacker konnte einen Gewinn von $13,4 Millionen erzielen. PeckShield sagte, dass die Gesamtverluste des Protokolls viel höher sein könnten.

Mithilfe des Flash-Darlehens konnten die Angreifer von Deus vorübergehend die Preise eines Liquiditätspools manipulieren, der aus dem Stablecoin USD Coin (USDC) und DEI bestand, und den manipulierten DEI-Preis verwenden, um den Pool zu leihen und zu entleeren. Berichten zufolge zahlte der Angreifer das Darlehen dann mit USDC zurück, bevor er sowohl USDC als auch DEI abzog.

Flash-Darlehen ermöglichen es DeFi-Benutzern, Kredite ohne Sicherheiten aufzunehmen. Das ist keine Krypto-Magie oder kostenloses Geld: Der Kredit muss zurückgezahlt werden, bevor die Transaktion endet oder der Smart Contract die Transaktion rückgängig macht – als hätte es den Kredit nie gegeben.

Die Nachricht vom Hack schickte Schockwellen durch die DeFi-Community, wobei einige Benutzer mit dem Finger auf die Wirtschaftsprüfungsgesellschaft Certik zeigten, die die Smart Contracts von Deus geprüft hatte. In einer heute veröffentlichten Erklärung sagte Certik jedoch, dass es ein Software-Audit-Tool eines Drittanbieters verwendet habe, das das Problem nicht erkennen konnte.

Certik hat angekündigt, dass es nun zusätzliche Audits durchführen, seinen aktuellen Prozess verbessern und mit anderen Prüfern für Smart Contracts zusammenarbeiten wird, um Best Practices für automatisierte Vertragssicherheitstests zu etablieren. Wer hinter diesem Angriff steckt, ist zum jetzigen Zeitpunkt noch unklar.

Dies ist nicht das erste Mal, dass ein Flash-Darlehen verwendet wird, um ein DeFi-Protokoll auszunutzen. Im Februar nutzte ein Angreifer ein Flash-Darlehen, um Compound auszunutzen, ein weiteres DeFi-Protokoll, mit dem Benutzer Zinsen auf ihre Krypto-Assets verdienen können. Als Ergebnis des Exploits wurden $13,4 Millionen von Deus Finance gestohlen. Obwohl der Angriff im Jahr 2020 stattfand, hat das Team hinter Deus Finance erst jetzt seine Details offengelegt, als es daran arbeitete, alle verlorenen Gelder wiederherzustellen

Das Deus-Team sagt, es habe das Problem bereits behoben und arbeite daran, die Gelder wiederzuerlangen. Es hat auch den gesamten Handel auf der Plattform eingestellt, während es eine vollständige Prüfung durchführt

Neuesten Nachrichten