Das DeFi-Protokoll Sturdy Finance hat durch eine Sicherheitslücke 442 Ether im aktuellen Wert von fast 800.000 US-Dollar verloren. Der Angreifer nutzte eine Sicherheitslücke aus, über die er ein fehlerhaftes Preisorakel manipulieren und Gelder aus dem Protokoll stehlen konnte.
Am 12. Juni alarmierte das Blockchain-Sicherheitsunternehmen PeckShield Sturdy Finance und meldete eine Transaktion, die mit Preismanipulationen im Zusammenhang stehen könnten. Fast eine Stunde später teilte das DeFi-Protokoll mit, dass es von der Schwachstelle wisse. Daraufhin wurden alle Märkte pausiert und den Nutzern versichert, dass keine weiteren Gelder gefährdet seien.
We are aware of the reported exploit of the Sturdy protocol. All markets have been paused; no additional funds are at risk and no user actions are required at this time.
— Sturdy (@SturdyFinance) June 12, 2023
We will be sharing more information as soon as we have it.
Trotz einer schnellen Reaktion der DeFi-Lending-Plattform bestätigte PeckShield, dass der Angreifer fast 800.000 US-Dollar in ETH an den Krypto-Mixer Tornado Cash überweisen konnte. Das Sicherheitsunternehmen merkte auch an, dass die "Wurzel" des Exploits bei einem fehlerhaften Preisorakel lag.
Das Blockchain-Sicherheitsunternehmen BlockSec wies außerdem darauf hin, der Hack sei über einen Reentrancy-Angriff möglich gewesen. Das ist eine gängige Methode, mit der Hacker Geld aus DeFi-Protokollen stehlen.
1/ @SturdyFinance was attacked and the loss is ~442 ETH. The root cause is due to the typical Balancer's read-only reentrancy, while the price of B-stETH-STABLE was manipulated! pic.twitter.com/5l9mVfhpQN
— BlockSec (@BlockSecTeam) June 12, 2023
Bei dieser Methode nutzen Hacker die Möglichkeit aus, eine Funktion in einer einzigen Transaktion wiederholt abzurufen, bevor der erste Funktions-Call abgeschlossen ist. Auf diese Weise können Hacker mehr Geld abheben, als eigentlich möglich wäre.
Unterdessen haben Betrügern acht Twitter-Konten von Krypto-Prominenten übernehmen und für Krypto-Betrug werben können. Laut dem Blockchain-Detektiv ZachXBT haben die Betrüger fast 1 Million US-Dollar in Krypto gestohlen, nachdem sie die Konten des berühmten DJ Steve Aoki, des Gründers von Pudgy Penguins Cole Villemain und sogar des Krypto-Hassers Peter Schiff übernommen hatten.
Außerdem hat das US-Justizministerium vor kurzem zwei Männer angeklagt, die mutmaßlich in den Mt. Gox-Hack verwickelt sind. Nach Angaben der Behörde sollen der 43-jährige Alexej Biljutschenko und der 29-jährige Aleksander Werner 647.000 Bitcoin gestohlen und Verschwörung zu Geldwäsche begangen haben.
Melde dich bei unseren Sozialen Medien an, um nichts zu verpassen: X, YouTube, Instagram und Telegram – aktuelle Nachrichten, Analysen, Expertenmeinungen und Interviews mit Fokus auf die DACH-Region.
