Hack Summer geht weiter, Acala wird im August das 4. Opfer, „Wir werden weitere Angriffe sehen“

Quelle: AdobeStock / Ekaterina

Ein glühend heißer Hack-Sommer für dezentralisierte Finanzen (DeFi) geht weiter, wobei das neueste in einer Reihe von mindestens acht Protokollen seit Anfang Juni einem Exploit zum Opfer gefallen ist Acala-Netzwerk – und es ist mindestens das vierte allein im August.

Der Vorfall führte dazu, dass der auf Polkadot (DOT) basierende Stablecoin Acala Dollar aUSD des Netzwerks seine Dollarbindung verlor und um mehr als 99 % einbrach. Am Montagmorgen um 7:20 UTC wird aUSD bei 0,00898 USD gehandelt, was laut CoinGecko in den letzten 24 Stunden einem Rückgang von 9 % und einem Rückgang von 99,1 % in einer Woche entspricht.

Unterdessen ist der Acala (ACA)-Token an einem Tag um 7,5 % und in einer Woche um 18 % gefallen und wird bei 0,267 USD gehandelt.

Acala Dollar (AUSD) 7-Tages-Preischart:

Quelle: Coingecko.com

Was dazu führte, war, dass es bösen Schauspielern am Wochenende gelungen war, eine Schwachstelle im neu bereitgestellten iBTC-aUSD-Liquiditätspool des Acala-Netzwerks auszunutzen, um mehr als eine Milliarde aUSD-Token, Acalas native Stablecoin, auszugeben.

Zum Zeitpunkt des Verfassens dieses Artikels glaubte man, dass die Brieftasche dem Angreifer gehörte enthält aUSD 1,267 Mrd.

Der offizielle Twitter-Account von Acala bestätigte den Hack. „Wir haben das Problem als eine Fehlkonfiguration des iBTC/aUSD-Liquiditätspools (der heute früher live gegangen ist) identifiziert, der zu Fehlprägungen in Höhe eines erheblichen Betrags von aUSD führte.“

In einem Follow-up-Tweet das Team behauptet dass sie das Problem „behoben“ und auch die Wallet-Adressen identifiziert haben, „die den fälschlicherweise geprägten aUSD erhalten haben“, und sagen, dass sie ihre On-Chain-Aktivität verfolgen werden.

„Basierend auf einer vorläufigen On-Chain-Verfolgung verbleiben mehr als 99 % der fälschlicherweise geprägten aUSD auf der Acala-Parachain, wobei ein kleiner Teil der fälschlicherweise geprägten aUSD gegen ACA und andere Token auf der Acala-Parachain ausgetauscht wird“, so das Team hinzugefügt.

Inzwischen Victor Young, Gründer und Chefarchitekt bei Analogein Layer-0, Proof-of-Time (PoT)-fähiges Netzwerk, sagte in einem Kommentar zu Cryptonews.com dass die Infrastruktur von Polkadot sicher ist, aber das „selbe kann nicht gesagt werden“ über Acala und andere Protokolle, die auf der Plattform aufgebaut sind.

„Während die genaue Ursache des Angriffs noch ermittelt werden muss, weisen frühe Untersuchungen auf einen Fehler in einem intelligenten Vertrag hin, der den iBTC/aUSD-Liquiditätspool verwaltet, den Hacker kompromittiert haben, um aUSD-Token übereifrig zu prägen“, fügte Young hinzu.

Der Acala-Hack ist der jüngste in einer Reihe von Hacks und Exploits, die die DeFi-Industrie seit Beginn dieses Sommers belastet haben. Hier ist eine Liste mit nur einigen der Hacks seit Anfang Juni:

  • Beliebte nicht fungible Token (NFT)-Sammlung Bored Ape Yacht Club (BAYC) hat bei einem Exploit digitale Assets im Wert von ETH 200 verloren.
  • Osmose DEX wurde mit rund 5 Mio. USD ausgeschöpft.
  • Harmonie-Brücke bei einem Diebstahl fast 100 Mio. USD in Krypto verloren.
  • Karneval bei einem Hack ETH im Wert von 3,65 Mio. USD verloren.
  • Crema Finanzen hat bei einem Flash-Loan-Angriff Krypto-Assets im Wert von über 8,7 Mio. USD verloren.
  • NFT-Influencer Zeneca und NFT-Registrierungsplattform PREMINT Opfer von Hacks geworden.
  • Dezentrale Musikplattform Audius 6 Mio. USD durch einen Hack verloren.
  • Nomade Nach einer Sicherheitsverletzung wurden der DeFi-Brücke 190 Mio. USD entzogen.
  • Ein Datenverstoß durch Slope-Geldbörse führte zu Tausenden Solana (SOL)-Benutzer verlieren ihr Geld.
  • Kurvenfinanzierung (CRV) sah rund 570.000 USD gestohlen.

Dieser Acala-Hack ist der dritte in den ersten beiden Augustwochen (unter denen, über die Cryptonews.com berichtet hat, und es werden wahrscheinlich noch mehr sein).

„Meiner Meinung nach werden wir weiterhin mehr dieser Angriffe sehen, weil viele dApp-Entwickler nicht die Kleinarbeit leisten, wenn sie die Sicherheitseigenschaften ihres Codes definieren“, sagte Young. „Selbst wenn der Smart Contract geprüft wird, ist der Code möglicherweise nicht narrensicher. In dieser Hinsicht müssen Entwickler und QA-Experten kontinuierlich evaluieren, um sicherzustellen, dass der Code seine Ziele erreicht.“

Wie berichtet, haben Hacker und Betrüger demnach im zweiten Quartal des Jahres über 670 Mio. USD aus Kryptoprotokollen gestohlen Immunfi, eine große Bug-Bounty- und Sicherheitsdienstplattform. Diese Zahl ist im Vergleich zum zweiten Quartal 2021, als Hacker und Betrüger 440.021.559 USD gestohlen haben, um fast 50 % gestiegen.

In einem Bericht Anfang dieses Monats stellte die Blockchain-Prüfungsfirma fest Kettenanalyse aufgedeckt dass Angriffe auf Brücken 69 % aller bisher in diesem Jahr gestohlenen Gelder ausmachen. „Je mehr Wert durch Cross-Chain-Bridges fließt, desto attraktivere Opfer werden sie für Hacker“, heißt es in dem Bericht.

Chainalysis schlug vor, dass alle DeFi-Protokolle, insbesondere Bridges, „extrem strenge Code-Audits anstreben, um zum Goldstandard von DeFi zu werden“. Das Unternehmen sagte auch, Krypto-Projekte müssten „in Sicherheitsmaßnahmen und Schulungen investieren“.

____

Mehr erfahren:
– Über 36 Mio. USD wurden an die Fund Recovery Address von Nomad Bridge zurückgesendet
– Solana macht Slope Wallet für Hack verantwortlich, während Slope sagt, dass “noch nichts fest ist”

– Axie Infinity-Entwickler bestreitet Fehlverhalten nach Ronin-Hack-bezogener Krypto-Transfer-Entdeckung
– Hacker von Crema Finance nimmt Kopfgeld in Höhe von 1,7 Mio. USD und gibt 8 Mio. USD zurück

– Haupttypen der beliebtesten Hacking-Angriffe während IDO
– NFT-Hacks über Discord könnten verbunden sein – Analysten

Kommentar veröffentlichen

Neuere Ältere