DeFi Daily: Harvest Finance verliert 24 Mio. USD bei einem Hack

Der Angreifer konnte dabei 24 Mio. USD erbeuten. Er gab aus bislang ungeklärten Gründen 2,5 Mio. USD zurück. Den Rest tauschte er gegen renBTC und verschleierte seine Spuren durch einen CoinMixer.

Vorsicht vor Flash Loans

Eine relativ neue Innovation im DeFi-Sektor war die Einführung von Blitzkrediten (Flash Loans). Diese benötigen keine Besicherung, solange der Kredit noch mit derselben Transaktion, die ihn anforderte, zurückgezahlt wird. Das Problem daran: Viele Flash Loan Protokolle weisen noch Sicherheitslücken auf, welche in den letzten Monaten immer wieder zu Exploits geführt haben, welche zu Millionenverlusten führten. So waren in diesem Jahr bereits bZx, Balancer und Opyn von Flash Loan Exploits betroffen. Nun reiht sich auch Harvest Finance in diese Liste ein.

Das Ergebnis der Attacke

Neben einem Gesamtschaden von über 20 Mio. USD leidet selbstverständlich auch das Vertrauen in Harvest unter dem Angriff. Die Investoren zogen über 600 Mio. USD an angelegten Geldern von der Plattform ab. Der Governance Token von Harvest Finance (FARM) stürzte um -47,9 % nach unten.

Kurz nach dem Vorfall wandten sich die Initiatoren von Harvest via Twitter an ihre Community. Sie gaben an, schnellstmöglich einen Post Mortem Bericht veröffentlichen zu wollen. Weiterhin behaupten sie, genügend Informationen zu besitzen, den Angreifer zu identifizieren, wollen jedoch keine strafrechtlichen Schritte einleiten:

Wir sind nicht daran interessiert, den Angreifer zu doxxen. Wir respektieren deine Fähigkeiten und deinen Einfallsreichtum. Bitte gib unseren Nutzern einfach nur das Geld zurück.

In addition to the BTC addresses which hold the funds, there is now a significant amount of personally identifiable information on the attacker, who is well-known in the crypto community.

We are putting out a 100k bounty for the first person or team to reach out to the attacker

— Harvest Finance (@harvest_finance) October 26, 2020

Der Hack ereignete sich zufälligerweise genau einen Tag nachdem der DeFi-Analyst Chris Blec Alarm schlug. Er kritisierte dass die Initiatoren noch im Besitz des Admin Keys sind, mit dem sie Gelder von den Smart Contracts abziehen können. Es ist nicht bekannt, ob der Admin Key bei diesem Hack eine Rolle gespielt hat.

Quantstamp gibt grünes Licht für ETH Staking Software

Der Zeitplan für den Start von Ethereum 2.0 bleibt weiterhin im Unklaren. Immerhin hat Ethereum nun einen weiteren wichtigen Meilenstein genommen. Die Firma Quantstamp auditierte den Quellcode für die Staking-Software Teku. Sie unterzogen die von ConsenSys entwickelte Software ausführlichen Tests, um sicherzustellen, dass sie dazu Fähig ist, die Konsensregeln des geplanten Proof of Stake Netzwerks korrekt umzusetzen. Teku ist zudem in der Lage, Probleme mit der Synchronisation und DDoS-Attacken zu lösen. Quantstamp lobte die hohe Qualität des Quellcodes. Laut jüngsten Informationen soll der Einzahlungs-Contract für das Staking Mitte November live gehen.

Marktbericht

DeFiPulse berichtet derzeit ein Total Value Locked (TVL) von 11,32 Mrd. USD (-8,9 %). Der DeFiPulse Index steht bei 76,85 (-2,5 %). Die größten DeFi-Plattformen sind derzeit Uniswap (2,73 Mrd., +0,8 %), Maker DAO (2,08 Mrd., -2,1 %), Compound (1,07 Mrd., -1,6 %), Aave (980 Mio., -12,2 %) und Curve Finance (660 Mio., -28,1 %). Harvest Finance (410 Mio., -60,9 %) rutschte auf Platz 8 im Ranking von DeFiPulse. Laut Messari haben DeFi Tokens im gewichteten Schnitt -2,4 % verloren. Die größten Verlierer waren yAxis (-43,6 %) und Gnosis (-12,4 %). Die größten Gewinner waren Curve (+21,7 %) und Swerve (+18,1 %). Stand: 27. Oktober 2020, 3:06 Uhr.