Hacker leert $5,9 Mio. vom Ethereum-Liquiditätsanbieter TrustedVolumes

TrustedVolumes, ein Liquiditätsanbieter auf der Ethereum-Blockchain, verlor am Donnerstag etwa 5,9 Millionen Dollar an einen Hacker.

Der Angreifer konnte eine Schwachstelle im benutzerdefinierten Handelssystem der Plattform ausnutzen und die Gelder abheben, darunter ETH, WBTC sowie USDT- und USDC-Stablecoins.

Was geschah

Laut dem Blockchain-Sicherheitsunternehmen Blockaid, das den Exploit während des Angriffs entdeckte, umfassten die gestohlenen Gelder 1.291 WETH, rund 16,9 WBTC, etwa 206.000 USDT und knapp 1,27 Millionen USDC.

Der Angriff funktionierte durch das Ausnutzen eines Designfehlers im benutzerdefinierten Order-Settlement-System von TrustedVolumes, bekannt als Request for Quote (RFQ) Proxy.

GoPlus Security veröffentlichte eine Analyse, die zeigte, dass der Angreifer sich mithilfe einer öffentlich zugänglichen Funktion namens „registerAllowedOrderSigner()" als autorisierter „Order-Unterzeichner" registrierte.

Die Funktion erlaubt es jedem, seine eigene Adresse als gültigen Unterzeichner für von ihm kontrollierte Trades zu bestimmen, und obwohl das normalerweise harmlos wäre, hatte die Settlement-Funktion ein separates Problem: Sie prüfte die Autorisierung gegen eine Adresse, zog aber tatsächlich Gelder von einer anderen ab.

Wie in einem technischen Bericht des Sicherheitsforschers Defi Nerd beschrieben, nutzte der Angreifer diese Lücke, um vier Drain-Transaktionen gegen den TrustedVolumes-Resolver-Vertrag auszuführen, dem der Proxy zuvor die Berechtigung erteilt worden war, seine Token zu bewegen.

Demnach zog der Proxy dabei jedes Mal Vermögenswerte vom Resolver ab und sendete nur eine einzige rohe USDC-Einheit zurück. Anschließend konvertierte der Angreifer die gestohlenen WETH zurück in ETH und leitete alles an seine eigene Wallet weiter.

TrustedVolumes bestätigte den Exploit und veröffentlichte öffentlich drei Wallet-Adressen, auf denen sich die gestohlenen Gelder befinden, und bat den Hacker, sich wegen einer „Bug Bounty und einer für beide Seiten akzeptablen Lösung" zu melden.

1inch distanziert sich, während DeFi-Hacks andauern

Da TrustedVolumes als Liquiditätsanbieter und Marktmacher auf 1inch fungiert, stellten einige frühe Berichte den Vorfall als einen 1inch-Exploit dar.

Dies ist jedoch nicht zutreffend, und sowohl 1inch als auch Blockaid veröffentlichten Stellungnahmen, in denen sie klarstellten, dass das Protokoll selbst nicht kompromittiert wurde und keine Nutzermittel auf 1inch betroffen waren. TrustedVolumes agiert unabhängig auf mehreren Plattformen, nicht ausschließlich auf 1inch.

Der Angriff ereignete sich während einer besonders schwierigen Phase für das DeFi-Ökosystem, da er auf einen katastrophalen April folgte, in dem Krypto im Wert von mehr als 650 Millionen Dollar aus verschiedenen Projekten gestohlen wurde.

KelpDAO und Drift Protocol waren am stärksten betroffen, mit Verlusten von 292 Millionen bzw. 285,2 Millionen Dollar.

Mit 5,9 Millionen Dollar ist dieser jüngste Exploit also kleiner im Umfang. Doch die technische Raffinesse des Vorgehens – das Einsetzen eines Hilfsvertrags, das Missbrauchen der Self-Service-Unterzeichner-Registrierung und das Ausnutzen einer Maker/Funding-Source-Diskrepanz in einer einzigen Transaktion – hebt ihn von einem einfachen Bug oder einer Fehlkonfiguration ab.

The post Hacker Drains $5.9M From Ethereum Liquidity Provider TrustedVolumes appeared first on CryptoPotato.