Ein Softwarefehler lässt Hacker 31 Millionen
US-Dollar von einem Crypto-Dienst abziehen
Rechenzentrum
Blockchain startup MonoX Die Finanzabteilung
sagte am Mittwoch, dass ein Hacker 31 Millionen Dollar gestohlen hat,
indem er einen Fehler in der Software ausgenutzt hat, mit der der Dienst
intelligente Verträge erstellt.
Ars Technica
Diese Geschichte erschien ursprünglich auf
Ars Technica, einer vertrauenswürdigen Quelle für
Technologienachrichten, Tech-Policy-Analysen, Rezensionen und mehr. Ars
ist im Besitz der Muttergesellschaft von WIRED, Condé Nast.
Das Unternehmen verwendet ein dezentrales
Finanzprotokoll namens MonoX, mit dem Benutzer digitale Währungstoken
ohne einige der Anforderungen herkömmlicher Börsen handeln können.
"Projekteigentümer können ihre Token ohne die Belastung durch
Kapitalanforderungen auflisten und sich darauf konzentrieren, Mittel für
den Aufbau des Projekts zu verwenden, anstatt Liquidität
bereitzustellen", schrieben Vertreter des MonoX-Unternehmens im
November. "Es funktioniert, indem es hinterlegte Token in einem
virtuellen Paar mit vCASH gruppiert, um ein einzelnes Token-Pool-Design
anzubieten."
Ein in die Software des Unternehmens
eingebauter Buchhaltungsfehler ließ einen Angreifer den Preis des
MONO-Tokens aufblähen und dann alle anderen eingezahlten Token
auszahlen, wie MonoX Finance in einem Beitrag enthüllte. Der Haul belief
sich auf Token im Wert von 31 Millionen US-Dollar auf den Ethereum- oder
Polygon-Blockchains,die beide vom MonoX-Protokoll unterstützt werden.
Insbesondere verwendete der Hack das gleiche
Token wie tokenIn und tokenOut, bei denen es sich um Methoden zum
Austausch des Werts eines Tokens gegen ein anderes handelt. MonoX
aktualisiert die Preise nach jedem Swap, indem es neue Preise für beide
Token berechnet. Wenn der Swap abgeschlossen ist, sinkt der Preis von
tokenIn, d. h. des vom Benutzer gesendeten Tokens, und der Preis von
tokenOut oder des vom Benutzer empfangenen Tokens steigt.
By using the same token for both tokenIn and
tokenOut, the hacker greatly inflated the price of the MONO token
because the updating of the tokenOut overwrote the price update of the
tokenIn. The hacker then exchanged the token for $31 million worth of
tokens on the Ethereum and Polygon blockchains.
Es gibt keinen praktischen Grund, ein Token
gegen dasselbe Token auszutauschen, und daher hätte die Software, die
Trades durchführt, solche Transaktionen niemals zulassen dürfen. Leider
tat es das, obwohl MonoX in diesem Jahr drei Sicherheitsaudits erhalten
hat.
Die Fallstricke von Smart Contracts
"Diese Art von Angriffen ist in Smart
Contracts üblich, weil viele Entwickler nicht die Beinarbeit leisten, um
Sicherheitseigenschaften für ihren Code zu definieren", sagte Dan Guido,
ein Experte für die Sicherung von Smart Contracts wie dem hier
gehackten. "Sie hatten Audits, aber wenn die Audits nur besagen, dass
eine kluge Person den Code für einen bestimmten Zeitraum betrachtet hat,
dann sind die Ergebnisse von begrenztem Wert. Smart Contracts benötigen
testbare Beweise dafür, dass sie das tun, was Sie beabsichtigen, und nur
das, was Sie beabsichtigen. Das bedeutet, dass Sicherheitseigenschaften
und -techniken definiert werden, um sie zu bewerten."
Der CEO der Sicherheitsberatung Trail of
Bits, Guido, fuhr fort:
Die meiste Software erfordert eine Minderung
von Schwachstellen. Wir suchen proaktiv nach Schwachstellen, erkennen
an, dass sie bei ihrer Verwendung unsicher sein könnten, und erstellen
Systeme, um zu erkennen, wann sie ausgenutzt werden. Smart Contracts
erfordern die Beseitigung von Schwachstellen.
Software-Verifizierungstechniken werden häufig verwendet, um
nachweisbare Zusicherungen zu bieten, dass die Verträge wie beabsichtigt
funktionieren. Die meisten Sicherheitsprobleme in Smart Contracts treten
auf, wenn Entwickler den ersten Sicherheitsansatz anstelle des letzteren
verwenden. Es gibt viele intelligente Verträge und Protokolle, die groß,
komplex und sehr wertvoll sind und Vorfälle vermieden haben, zusammen
mit den vielen, die bei ihrer Einführung sofort ausgenutzt wurden.
Der Blockchain-Forscher Igor Igamberdiev
nutzte Twitter, um die Zusammensetzung der entwässerten Token
aufzuschlüsseln. Zu den Token gehörten 18,2 Millionen US-Dollar in
Wrapped Ethereum, 10,5 Millionen US-Dollar in MATIC-Token und WBTC im
Wert von 2 Millionen US-Dollar. Die Beute umfasste auch kleinere Mengen
an Token für Wrapped Bitcoin, Chainlink, Unit Protocol, Aavegotchi und
Immutable X.
Nur der neueste DeFi-Hack
MonoX ist nicht das einzige dezentrale
Finanzprotokoll, das einem Multimillionen-Dollar-Hack zum Opfer fällt.
Im Oktober sagte Indexed Finance, dass es etwa 16 Millionen Dollar in
einem Hack verloren hat, der die Art und Weise ausnutzte, wie es
Indexpools neu ausbalanciert. Anfang dieses Monats sagte das
Blockchain-Analyseunternehmen Elliptic, dass sogenannte DeFi-Protokolle
aufgrund von Diebstahl und Betrug 12 Milliarden Dollar verloren haben.
Die Verluste in den ersten rund 10 Monaten dieses Jahres erreichten 10,5
Milliarden US-Dollar, gegenüber 1,5 Milliarden US-Dollar im Jahr 2020.
"Die relative Unreife der zugrunde liegenden
Technologie hat es Hackern ermöglicht, die Gelder der Benutzer zu
stehlen, während die tiefen Liquiditätspools es Kriminellen ermöglicht
haben, Erträge aus Straftaten wie Ransomware und Betrug zu waschen",
heißt es in dem Elliptic-Bericht. "Dies ist Teil eines breiteren Trends
bei der Nutzung dezentraler Technologien für illegale Zwecke, den
Elliptic als DeCrime bezeichnet."
https://www.wired.com/story/hackers-drain-31-million-from-crypto-service/