Der Angreifer, der für den Diebstahl von $25 Millionen aus dem DeFi-Protokoll dForce verantwortlich ist, hat (fast) alle Gelder zurückgegeben. Es gibt keine Erklärung für den Sinneswandel, aber es wird vermutet, dass ein Mangel an Gründlichkeit bei der Vertuschung seiner Spuren den Angreifer dazu veranlasst hat, die Gelder zurückzugeben, um weitere Ermittlungen zu vermeiden.
Die chinesische DeFi-Kreditplattform dForce hat ihre gesamten gestohlenen Gelder in Höhe von rund $25 Millionen zurückerhalten. Der Grund für den überraschenden Schritt ist wahrscheinlich, das der Angreifer es versäumt hat, seine Spuren zu verdecken. Dabei liefern die mit dem Angreifer verknüpften Metadaten viele Daten über seine mögliche Identität.
This is insane. The lendf/dForce hacker is in the process of returning all the hacked funds to the admin:
$10M of ETH
$6.6M of USDT
$2.2M of HBTC
$750K of USDC
$381K of HUSD
$137K of DAI
$132K of MKR
$126K of PAXGrand total of just over $20M.https://t.co/FLkJmv7m2A pic.twitter.com/6oaLgvnZMr
— Haseeb Qureshi (@hosseeb) April 21, 2020
Der Angreifer hat es versäumt, ein dezentrales Netzwerk zu benutzen, da er nur ein VPN verwendete. Dadurch wurde die IP-Adresse sichtbar, die mit drei Zugriffen auf Handelsplattformen verbunden war. Es ist auch bekannt, dass der Angreifer einen Mac verwendet hat, ebenso wie die Einstellung der Bildschirmauflösung und der Systemsprache. Da die Ermittlungen bereits im Gange sind, geht man davon aus, dass der Angreifer die Gelder in der Hoffnung auf Nachsicht zurückgegeben hat.
Allerdings scheint der Angreifer rund eine halbe Million US-Dollar in der Stablecoin von dForce, UDSx, als “Finderlohn” einzubehalten. Der geschäftsführende Gesellschafter von Dragonfly Capital, Haseeb Qureshi, hat dies als das größte Bug-Bounty bezeichnet, das er je gesehen habe.
This is the most dramatic bug bounty award I've ever seen.
— Haseeb Qureshi (@hosseeb) April 21, 2020
Der Angriff ist ein Schlag gegen die DeFi-Plattform dForce, die nur vor wenigen Tage eine von Multicoin Capital angeführte Anschubfinanzierung in Höhe von $1.5 Millionen erhalten hatte. BeInCrypto bat um einen Kommentar von dForce, hat aber noch keine Antwort erhalten.
dForce hielt $25 Millionen in 8 Kryptowährungen
Der Angriff begann am späten Samstag und dauerte bis in den Sonntag hinein. Nach dem derzeitigen Kenntnisstand hat der Angreifer eine Sicherheitslücke im ERC-777-Protokoll ausgenutzt, und durch rekursive Funktionsaufrufe Gelder abzuschöpfen.
Eine ähnliche Methode wurde bereits 2016 bei dem Angriff gegen die DAO verwendet, welcher durch einen Hard Fork von Ethereum wieder rückgängig gemacht wurde und zur Abspaltung von Ethereum Classic führte. Bei dem derzeit vorliegenden Fall wurden über 99% der Gelder von dForce in verschiedenen Vermögenswerten, unter Anderem BTC, ETH, USDT, DAI, MKR und PAX gestohlen.
Der Angreifer konzentrierte seine Bemühungen auf die Protokolle UniSwap und Lendf.me. Im Anschluss daran ist die Plattform von Lendf.me offline gegangen. Der CEO von dForce, Mindao Yang, hat die Benutzer gebeten, keine Vermögenswerte mehr auf Lendf.me zu halten.
Nach dem Diebstahl hat der Angreifer die Gelder auf die DeFi-Plattformen Compound und Aave überwiesen. In einem Tweet kritisierte der CEO von Compound, Robert Leshner, Lendf.me scharf. Er warf der Kreditplattform vor, urheberrechtlich geschützten Quellcode gestohlen zu haben. Er versteht dies als deutliches Zeichen, dass Lendf.me weder das Personal, noch die Intention hat, um eine sichere DeFi-Plattform zu schaffen.
If a project doesn't have the expertise to develop it's own smart contracts, and instead steals and redeploys somebody else's copyrighted code, it's a sign that they don't have the capacity or intention to consider security.
Hope developers & users learn from the @LendfMe hack.
—
Leshner (@rleshner) April 19, 2020
DeFi auf dem Prüfstand
Das dezentralisierte Finanzwesen (DeFi) verzeichnete im vergangenen Jahr ein enormes Wachstum und erreichte erreichte in diesem Jahr mehrfach neue Rekordwerte. Die jüngsten Entwicklungen waren jedoch weitgehend negativ, wobei mehrere Plattformen unter Hacks litten.
Beispielsweise verlor das bZx-Protokoll im Februar etwa $1 Million durch manipulierte Oracles. Die Entscheidung des bZx-Teams, das Netzwerk auszusetzen, wurde wegen seiner Zentralisierung kritisiert. Nach dem Marktcrash im März kam es bei der führenden DeFi-Plattform MakerDAO zu einer Welle von Liquidierungen. Aufgrund von Überlastungen auf der Ethereum Blockchain konnten sich einige Benutzer die versteigerten Vermögenswerte zum Nulltarif aneignen.
Diese Angriffe und die darauf folgenden Reaktionen haben einen Teil des lebhaften Optimismus gemildert, der das Wachstum des DeFi-Sektors begleitet hat. Der DeFi-Markt, dessen Wert sich seit seinem Höchststand im Februar fast halbiert hat, hält sich zum Zeitpunkt der Veröffentlichung bei einem Gesamtwert von $731 Millionen.