24 Millionen Dollar durch DeFi-Plattformen von Hackern erbeutet
Am 30. Juli führte eine Reihe von Vorfällen im Zusammenhang mit dezentralen Finanzprotokollen (DeFi) zu einem beträchtlichen Verlust von Kryptowährungen im Wert von mehr als $24 Millionen.
Die Angreifer nutzten eine Schwachstelle in den Liquiditätspools von Curve aus, einer automatisierten Market-Maker-Plattform (AMM).
Ein betroffenes Protokoll war die NFT-Leihplattform JPEG’d, die etwa $11 Millionen in Kryptowährung verlor. Der Gesamtwert, der in diesem Protokoll gesperrt ist, beträgt etwa $32 Millionen, und es ermöglicht den Nutzern, NFTs als Sicherheiten für Kredite zu verwenden. Infolge dieser Ereignisse verzeichnete der Governance-Token JPEG laut CoinMarketCap zum Zeitpunkt der Erstellung dieses Artikels einen Rückgang von 24.6%.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
Other pools are safe. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) July 30, 2023
Curve bezeichnete die Schwachstelle zunächst als Standard-“re-entrancy”-Exploit, der durch geeignete Maßnahmen vermieden werden könnte. Später stellten sie diese Behauptung jedoch klar.
Es ist wichtig anzumerken, dass JPEG’d, das den epxloit als erstes entdeckt hat, nicht das einzige Opfer in dieser Situation war. Auch andere Plattformen wie Alchemix und Metronome DAO hatten mit $13.6 Mio. bzw. $1.6 Mio. erhebliche Verluste zu verzeichnen. Ein MEV-Bot (Maximal Extractable Value) entdeckte die Aktionen des Angreifers, der präventiv eine vergleichbare Transaktion durchführte und den Angreifer überlistete.
LESEN SIE WEITER: FTX-Gründer wegen Kaution unter dem Vorwurf der Zeugen-Manipulation besorgt
Die Untersuchung ergab, dass Vyper, ein Drittanbieter von Programmiersprachen für Ethereum-Smart Contracts, für den Fehler verantwortlich war.
Vyper gab an, dass der Fehler durch einen Defekt im Compiler ihrer Programmiersprache verursacht wurde. Obwohl der Code des Projekts mit Wiedereintrittssicherungen versehen war, um sich gegen solche Angriffe zu schützen, wurden diese Sicherungen durch den Fehler unbrauchbar gemacht.