DeFi-Hack wiederholen oder ein neuer Bug?

Während die Gründer von zwei OG-Protokollen, Aave und Maker (jetzt Sky), über Starcraft brüteten, während sie sich in einem „DeFi-Renaissance-Moment“ sonnten, gingen einige der weniger etablierten Projekte der Branche aus den falschen Gründen in die Geschichte ein .

Two decentralized finance (DeFi) protocols were hacked on Friday for a combined total of over $5 million, while compromised wallets saw a further $5 million drained on Wednesday.

Zwei dezentrale Finanzprotokolle (DeFi) wurden am Freitag für insgesamt über 5 Millionen US-Dollar gehackt, während kompromittierte Geldbörsen am Mittwoch weitere 5 Millionen US-Dollar erbeuteten.

While the founders of two OG protocols, Aave and Maker (now Sky), enjoyed a game of Starcraft and reveled in a “DeFi renaissance moment,” some of the sector’s less well-established projects were going down in history for the wrong reasons.

Während die Gründer der beiden OG-Protokolle Aave und Maker (jetzt Sky) eine Partie Starcraft genossen und einen „DeFi-Renaissance-Moment“ genossen, gingen einige der weniger etablierten Projekte der Branche aus den falschen Gründen in die Geschichte ein.

Repeat DeFi hack or a new bug?

DeFi-Hack wiederholen oder ein neuer Fehler?

First up was Onyx Protocol, whose $3.8 million loss was initially thought to be a repeat of the well-known bug that drained $2.1 million from the project toward the back end of last year.

An erster Stelle stand Onyx Protocol, dessen Verlust von 3,8 Millionen US-Dollar zunächst als Wiederholung des bekannten Fehlers angesehen wurde, der dem Projekt Ende letzten Jahres 2,1 Millionen US-Dollar entzogen hat.

Hi @OnyxDAO, you may want to take a look pic.twitter.com/fcU6fHP4jr

Hallo @OnyxDAO, vielleicht möchtest du einen Blick darauf werfen pic.twitter.com/fcU6fHP4jr

Read more: Compound DAO asleep at the wheel as $25M governance ‘attack’ passes

Weiterlesen: Compound DAO schläft am Steuer, während der 25-Millionen-Dollar-Governance-„Angriff“ vorübergeht

Onyx is a fork of Compound Finance, which contains an infamous vulnerability in which freshly-launched, empty lending markets are briefly left open to a price manipulation attack, if not handled correctly.

Onyx ist eine Abzweigung von Compound Finance, die eine berüchtigte Schwachstelle aufweist, die dazu führt, dass neu eröffnete, leere Kreditmärkte kurzzeitig einem Preismanipulationsangriff ausgesetzt sind, wenn sie nicht richtig gehandhabt werden.

Given the popularity of Compound’s v2 codebase with fast-forking DeFi devs, the bug is exploited with alarming regularity across the sector, and was initially identified as having been the cause of Onyx’s latest loss.

Angesichts der Beliebtheit der v2-Codebasis von Compound bei Fast-Forking-DeFi-Entwicklern wird der Fehler im gesamten Sektor mit alarmierender Regelmäßigkeit ausgenutzt und wurde ursprünglich als Ursache für den jüngsten Verlust von Onyx identifiziert.

However, as the team pointed out in a ‘post-mortem’ thread on X (formerly Twitter), this time the vulnerability also lay in the platform’s ‘NFT Liquidation contract.’ The attacker was able to drain the vUSD stablecoin, which was then sold off, causing it to depeg.

Allerdings wies das Team in einem „Post-Mortem“-Thread auf X (ehemals Twitter) darauf hin, dass die Schwachstelle dieses Mal auch im „NFT-Liquidationsvertrag“ der Plattform lag. Der Angreifer konnte den vUSD-Stablecoin entleeren, der dann verkauft wurde, was zu einer Aufhebung der Bindung führte.

Something’s not adding up

Etwas stimmt nicht

Next came ‘bitcoin restaking’ protocol Bedrock, which appeared to be overly bullish on ETH, costing it around $2 million.

Als nächstes folgte das „Bitcoin-Restapping“-Protokoll Bedrock, das gegenüber der ETH übermäßig optimistisch zu sein schien und es etwa 2 Millionen US-Dollar kostete.

uniBTC by @Bedrock_DeFi was exploited today. The vulnerability allowed for you to mint uniBTC with eth! This function was likely leftover from the uniETH implementation 😅 @spreekaway pic.twitter.com/Xj69wQg2GX

uniBTC von @Bedrock_DeFi wurde heute ausgenutzt. Die Sicherheitslücke ermöglichte es Ihnen, uniBTC mit eth zu prägen! Diese Funktion ist wahrscheinlich ein Überbleibsel der uniETH-Implementierung 😅 @spreekaway pic.twitter.com/Xj69wQg2GX

Read more: ‘Cryptographic performance art’ drains contract one block after launch 

Weiterlesen: „Kryptografische Performance-Kunst“ entzieht den Vertrag einen Block nach dem Start

The faulty code allowed users to mint Bedrock’s uniBTC token at a 1:1 ratio with staked ETH tokens, not taking into account the price difference between the two assets (valued at the time at approximately $65,000 vs $2,650, respectively).

Der fehlerhafte Code ermöglichte es Benutzern, den uniBTC-Token von Bedrock im Verhältnis 1:1 mit eingesetzten ETH-Token zu prägen, ohne Berücksichtigung des Preisunterschieds zwischen den beiden Vermögenswerten (der damalige Wert lag bei etwa 65.000 US-Dollar bzw. 2.650 US-Dollar).

The uniBTC tokens were then sold off for an alternative wrapped bitcoin token, for a return of almost 25x.

Die uniBTC-Token wurden dann gegen einen alternativ verpackten Bitcoin-Token verkauft, was eine Rendite von fast dem 25-fachen erzielte.

Crypto security auditor Dedaub claims to have identified the vulnerability in advance, stating that such a simple bug could be discovered and exploited automatically by ‘fuzzing bots.’

Der Krypto-Sicherheitsprüfer Dedaub gibt an, die Schwachstelle im Voraus identifiziert zu haben und erklärt, dass ein so einfacher Fehler automatisch von „Fuzzing-Bots“ entdeckt und ausgenutzt werden könnte.

Despite warning the Bedrock team two hours before the attack, there was no response due time zone differences. However, by raising the issue separately with Pendle, a platform with $30 million of exposure to uniBTC, further losses were successfully averted.

Trotz der Warnung des Bedrock-Teams zwei Stunden vor dem Angriff erfolgte aufgrund von Zeitzonenunterschieden keine Reaktion. Indem das Problem jedoch separat bei Pendle angesprochen wurde, einer Plattform mit einem Engagement in uniBTC in Höhe von 30 Millionen US-Dollar, konnten weitere Verluste erfolgreich abgewendet werden.

The Bedrock team responded to the incident, reassuring users that all uniBTC collateral remains intact. It estimated the losses at “approximately $2 million (mostly in DEX LPs),” adding that a “comprehensive reimbursement plan is being finalized.”

Das Bedrock-Team reagierte auf den Vorfall und versicherte den Benutzern, dass alle uniBTC-Sicherheiten intakt bleiben. Es schätzte die Verluste auf „ungefähr 2 Millionen US-Dollar (hauptsächlich in DEX-LPs)“ und fügte hinzu, dass „ein umfassender Erstattungsplan fertiggestellt wird“.

Compromised keys?

Kompromittierte Schlüssel?

On Wednesday, real-world-asset-focused Truflation warned of “some abnormal activity,” which it attributed to a malware attack.

Am Mittwoch warnte das auf reale Vermögenswerte fokussierte Unternehmen Truflation vor „einigen ungewöhnlichen Aktivitäten“, die es auf einen Malware-Angriff zurückführte.

On September 25th, 2024, the Truflation team detected some abnormal activity. An attacker launched an attack using malware. We are currently monitoring the situation and are taking measures to protect funds while we are investigating and working with law enforcement. The…

Am 25. September 2024 stellte das Truflation-Team ungewöhnliche Aktivitäten fest. Ein Angreifer startete einen Angriff mit Schadsoftware. Wir beobachten derzeit die Situation und ergreifen Maßnahmen zum Schutz der Gelder, während wir Ermittlungen durchführen und mit den Strafverfolgungsbehörden zusammenarbeiten. Der…

Read more: Chelsea FC sponsor BingX tried to hide $40M hack behind ‘wallet maintenance’

Lesen Sie mehr: Chelsea FC-Sponsor BingX versuchte, 40-Millionen-Dollar-Hack hinter „Wallet-Wartung“ zu verbergen

Blockchain investigator ZachXBT traced total losses of over $5 million from addresses identified as the project’s “treasury multisig and personal wallets,” providing a list of addresses via his Investigations Telegram channel.

Der Blockchain-Ermittler ZachXBT ermittelte Gesamtverluste von über 5 Millionen US-Dollar an Adressen, die als „Treasury-Multisig- und persönliche Wallets“ des Projekts identifiziert wurden, und stellte über seinen Investigations-Telegram-Kanal eine Liste der Adressen bereit.

While the initial disclosure was scant on details, it does mention a reward to any whitehats able to aid the investigation. This was followed up with an on-chain message to the hacker, offering a 10% ‘bounty’ for the return of the funds.

Während die erste Offenlegung nur wenige Einzelheiten enthielt, erwähnte sie doch eine Belohnung für alle Whitehats, die in der Lage sind, die Ermittlungen zu unterstützen. Darauf folgte eine On-Chain-Nachricht an den Hacker, in der ein „Kopfgeld“ von 10 % für die Rückgabe der Gelder angeboten wurde.

Assuming funds aren’t returned before 8am (UTC) on Saturday, the bounty will be opened up to the public in return for information leading to a conviction.

Vorausgesetzt, dass die Gelder nicht vor 8 Uhr morgens (UTC) am Samstag zurückerstattet werden, wird das Kopfgeld der Öffentlichkeit im Gegenzug für Informationen zugänglich gemacht, die zu einer Verurteilung führen.

Got a tip? Send us an email or ProtonMail. For more informed news, follow us on X, Instagram, Bluesky, and Google News, or subscribe to our YouTube channel.

Hast du einen Tipp? Senden Sie uns eine E-Mail oder ProtonMail. Für fundiertere Neuigkeiten folgen Sie uns auf X, Instagram, Bluesky und Google News oder abonnieren Sie unseren YouTube-Kanal.