Hooepage Cybersecuritv Cyberpace
Banken - Börsen Schutzmassnahmen Datenverarbeitung Ohnmacht der Banken Hochfrequenzhandel Innovationen Kryptowährungen

( 1 ) Ein Softwarefehler lässt Hacker 31 Millionen US-Dollar von einem Crypto-Dienst abziehen


( 2 ) 150 Millionen Dollar gestohlen: Kryptobörse Bitmart wurde gehackt
( 3 ) KRYPTO Ethereum gestohlen: Hacker erbeuten 600 Millionen Dollar in Kryptowährungen
( 4 ) Quanten-computer ;
AI od. KI; fordern die Banken heraus
"
( 5 ) Intelligentes und innovatives Denken wird die Entwicklung zukünftig prägen gepaart  mit gesundem Menschern-verstand wird die......

( 6 ) Elon Musk zu schritt zurück von Tesla und SpaceX, springt auf Quantum Computing - Financial Tech -

 

Bit-Coin


 


 

 

 

 





 



  
  
W I R E D

Ein Softwarefehler lässt Hacker 31 Millionen US-Dollar von einem Crypto-Dienst abziehen


Rechenzentrum
Blockchain startup MonoX Die Finanzabteilung sagte am Mittwoch, dass ein Hacker 31 Millionen Dollar gestohlen hat, indem er einen Fehler in der Software ausgenutzt hat, mit der der Dienst intelligente Verträge erstellt.

Ars Technica
Diese Geschichte erschien ursprünglich auf Ars Technica, einer vertrauenswürdigen Quelle für Technologienachrichten, Tech-Policy-Analysen, Rezensionen und mehr. Ars ist im Besitz der Muttergesellschaft von WIRED, Condé Nast.

Das Unternehmen verwendet ein dezentrales Finanzprotokoll namens MonoX, mit dem Benutzer digitale Währungstoken ohne einige der Anforderungen herkömmlicher Börsen handeln können. "Projekteigentümer können ihre Token ohne die Belastung durch Kapitalanforderungen auflisten und sich darauf konzentrieren, Mittel für den Aufbau des Projekts zu verwenden, anstatt Liquidität bereitzustellen", schrieben Vertreter des MonoX-Unternehmens im November. "Es funktioniert, indem es hinterlegte Token in einem virtuellen Paar mit vCASH gruppiert, um ein einzelnes Token-Pool-Design anzubieten."

Ein in die Software des Unternehmens eingebauter Buchhaltungsfehler ließ einen Angreifer den Preis des MONO-Tokens aufblähen und dann alle anderen eingezahlten Token auszahlen, wie MonoX Finance in einem Beitrag enthüllte. Der Haul belief sich auf Token im Wert von 31 Millionen US-Dollar auf den Ethereum- oder Polygon-Blockchains,die beide vom MonoX-Protokoll unterstützt werden.

Insbesondere verwendete der Hack das gleiche Token wie tokenIn und tokenOut, bei denen es sich um Methoden zum Austausch des Werts eines Tokens gegen ein anderes handelt. MonoX aktualisiert die Preise nach jedem Swap, indem es neue Preise für beide Token berechnet. Wenn der Swap abgeschlossen ist, sinkt der Preis von tokenIn, d. h. des vom Benutzer gesendeten Tokens, und der Preis von tokenOut oder des vom Benutzer empfangenen Tokens steigt.

By using the same token for both tokenIn and tokenOut, the hacker greatly inflated the price of the MONO token because the updating of the tokenOut overwrote the price update of the tokenIn. The hacker then exchanged the token for $31 million worth of tokens on the Ethereum and Polygon blockchains.

Es gibt keinen praktischen Grund, ein Token gegen dasselbe Token auszutauschen, und daher hätte die Software, die Trades durchführt, solche Transaktionen niemals zulassen dürfen. Leider tat es das, obwohl MonoX in diesem Jahr drei Sicherheitsaudits erhalten hat.

Die Fallstricke von Smart Contracts
"Diese Art von Angriffen ist in Smart Contracts üblich, weil viele Entwickler nicht die Beinarbeit leisten, um Sicherheitseigenschaften für ihren Code zu definieren", sagte Dan Guido, ein Experte für die Sicherung von Smart Contracts wie dem hier gehackten. "Sie hatten Audits, aber wenn die Audits nur besagen, dass eine kluge Person den Code für einen bestimmten Zeitraum betrachtet hat, dann sind die Ergebnisse von begrenztem Wert. Smart Contracts benötigen testbare Beweise dafür, dass sie das tun, was Sie beabsichtigen, und nur das, was Sie beabsichtigen. Das bedeutet, dass Sicherheitseigenschaften und -techniken definiert werden, um sie zu bewerten."

Der CEO der Sicherheitsberatung Trail of Bits, Guido, fuhr fort:

Die meiste Software erfordert eine Minderung von Schwachstellen. Wir suchen proaktiv nach Schwachstellen, erkennen an, dass sie bei ihrer Verwendung unsicher sein könnten, und erstellen Systeme, um zu erkennen, wann sie ausgenutzt werden. Smart Contracts erfordern die Beseitigung von Schwachstellen. Software-Verifizierungstechniken werden häufig verwendet, um nachweisbare Zusicherungen zu bieten, dass die Verträge wie beabsichtigt funktionieren. Die meisten Sicherheitsprobleme in Smart Contracts treten auf, wenn Entwickler den ersten Sicherheitsansatz anstelle des letzteren verwenden. Es gibt viele intelligente Verträge und Protokolle, die groß, komplex und sehr wertvoll sind und Vorfälle vermieden haben, zusammen mit den vielen, die bei ihrer Einführung sofort ausgenutzt wurden.

Der Blockchain-Forscher Igor Igamberdiev nutzte Twitter, um die Zusammensetzung der entwässerten Token aufzuschlüsseln. Zu den Token gehörten 18,2 Millionen US-Dollar in Wrapped Ethereum, 10,5 Millionen US-Dollar in MATIC-Token und WBTC im Wert von 2 Millionen US-Dollar. Die Beute umfasste auch kleinere Mengen an Token für Wrapped Bitcoin, Chainlink, Unit Protocol, Aavegotchi und Immutable X.

Nur der neueste DeFi-Hack
MonoX ist nicht das einzige dezentrale Finanzprotokoll, das einem Multimillionen-Dollar-Hack zum Opfer fällt. Im Oktober sagte Indexed Finance, dass es etwa 16 Millionen Dollar in einem Hack verloren hat, der die Art und Weise ausnutzte, wie es Indexpools neu ausbalanciert. Anfang dieses Monats sagte das Blockchain-Analyseunternehmen Elliptic, dass sogenannte DeFi-Protokolle aufgrund von Diebstahl und Betrug 12 Milliarden Dollar verloren haben. Die Verluste in den ersten rund 10 Monaten dieses Jahres erreichten 10,5 Milliarden US-Dollar, gegenüber 1,5 Milliarden US-Dollar im Jahr 2020.

"Die relative Unreife der zugrunde liegenden Technologie hat es Hackern ermöglicht, die Gelder der Benutzer zu stehlen, während die tiefen Liquiditätspools es Kriminellen ermöglicht haben, Erträge aus Straftaten wie Ransomware und Betrug zu waschen", heißt es in dem Elliptic-Bericht. "Dies ist Teil eines breiteren Trends bei der Nutzung dezentraler Technologien für illegale Zwecke, den Elliptic als DeCrime bezeichnet."

https://www.wired.com/story/hackers-drain-31-million-from-crypto-service/