DeFi Daily: Die Jagd nach dem Harvest-Hacker

Der Angreifer fuhr eine komplexe ökonomische Attacke, um mittels Flash Loans und Kursmanipulationen Gelder aus den Vaults von Harvest Finance abzuschöpfen. Dabei erbeutete er 24 Mio. USD.

Wer ist es?

Ein Medium-Post von Harvest zeigt auf, wo die Gelder hingeflossen sind. Der Angriff ging von der Ethereum-Adresse 0xf224ab004461540778a914ea397c589b677e27bb aus. Derzeit befindet sich das Geld auf sieben Bitcoin-Wallets, während der Angreifer über verschiedene Coinmixing-Dienste und Börsen versucht, das Geld zu waschen. Die Jagd nach dem Angreifer läuft fieberhaft weiter. Nach der Attacke hat Harvest eine Summe von 100.000 USD ausgelobt. Nun haben sie diese Summe auf eine Million USD erhöht. Zusätzlich nennen sie einige Merkmale, an welchen man den Hacker erkennen kann:

6) understands yield farming
7) is able to code up smart contracts
8) understands how to use available mixers, including on the dark net
9) available at the time of the attack

$1M USD bounty is live

2/2

— Harvest Finance (@harvest_finance) October 29, 2020

Harvest bemüht sich weiterhin darum, die Investoren zu entschädigen. Die 2,5 Mio USD, welche der Angreifer bereits zurückschickte, werden an die Geschädigten verteilt. Zusätzlich sollen sie IOU-Tokens erhalten, welche ihnen einen Teil von Harvests zukünftigen Einnahmen zusichern sollen. Dazu läuft gerade eine Governance-Abstimmung. Rund drei Viertel der abgegebenen Stimmen sprechen sich für diesen Vorschlag aus.

Flash Loan Angriff gegen Makers Governance

Governance-Abstimmungen könnten ebenfalls anfällig für Flash Loans sein. Das musste MakerDAO nun feststellen. Der “Angreifer” in diesem Fall war die DeFi-Plattform B Protocol. Diese startete eine Governance-Abstimmung, da sie Zugriff auf die Oracles von Maker erhalten wollten. Sie manipulierten die Abstimmung, indem sie einen Flash Loan aufnahmen und mit den dadurch aufgenommenen Tokens abstimmten. Zwar war diese Manipulation seitens von B Protocol nicht böswillig, allerdings zeigt der Vorfall auf, dass weiterhin Probleme mit Governance-Abstimmungen bestehen. Es stellt sich die Frage, ob Abstimmungen tatsächlich mit transferierbaren Tokens durchgeführt werden sollten, oder ob es dafür nicht bessere Alternativen gibt.

What a shitshow.

With every passing day I’m growing more and more skeptical of tokenized governance.

It’s time for us to start testing governance without tokens. Reward users that continuously use the product with non-transferable votes.

Less fun for whales. Power to users. https://t.co/zvm5PgpDeg

— Chris Blec (@ChrisBlec) October 29, 2020

Happy Halloween!

Passen zu Halloween hat unser englischsprachiger DeFi-Spezialist Martin Young die schaurigsten Gruselgeschichten aus dem DeFi-Sektor zusammengetragen. Er schreibt über die Angst vor Flash Loans, dem Schaudern vor Smart Contract Codes, abscheuliche Hacks, furchterregende Betrügereien und verstörende Rug Pulls. Tatsächlich haben Flash Loans in diesem Jahr gleich mehrere Hacks ermöglicht. Zusätzlich gab es genügend Beispiele für anderweitige Probleme in dem noch jungen Sektor. Dennoch blickt Martin positiv in die Zukunft. Er schätzt, dass diese “Kinderkrankheiten” in der nahen Zukunft ausgemerzt werden.

Marktbericht

DeFiPulse berichtet derzeit ein Total Value Locked (TVL) von 11,02 Mrd. USD (-0,3 %). Der DeFiPulse Index steht bei 67,20 (-0,1 %). Die größten DeFi-Plattformen sind derzeit Uniswap (2,66 Mrd., -0,6 %), Maker DAO (1,97 Mrd., -2,1 %), Compound (1,05 Mrd., +1,5 %) und Aave (969 Mio., +2,1 %). Laut Messari haben DeFi Tokens im gewichteten Schnitt -1,8 % verloren. Der größte Gewinner war Akropolis (+13,2 %). Der größte Verlierer war PowerPool (-14,2 %). Stand: 31. Oktober 2020, 0:46 Uhr.