Hacker haalt $5,9 miljoen weg bij Ethereum-liquiditeitsprovider TrustedVolumes

TrustedVolumes, een liquiditeitsverschaffer op de Ethereum-blockchain, verloor donderdag ongeveer $5,9 miljoen aan fondsen aan een hacker.

De aanvaller kon een kwetsbaarheid misbruiken in het aangepaste handelssysteem van het platform en slaagde erin de fondsen op te nemen, waaronder ETH, WBTC, evenals USDT en USDC stablecoins.

Wat er gebeurde

Volgens blockchain-beveiligingsbedrijf Blockaid, dat de exploit onderschepte terwijl deze plaatsvond, omvatten de gestolen fondsen 1.291 WETH, ongeveer 16,9 WBTC, ongeveer 206.000 USDT en iets minder dan 1,27 miljoen USDC.

De aanval werkte door misbruik te maken van een ontwerpfout in het aangepaste orderafwikkelingssysteem van TrustedVolumes, bekend als een Request for Quote (RFQ) proxy.

GoPlus Security publiceerde een analyse waaruit blijkt dat de aanvaller zichzelf registreerde als een geautoriseerde "order signer" via een functie genaamd "registerAllowedOrderSigner()" die publiekelijk toegankelijk was.

De functie stelt iedereen in staat hun eigen adres aan te wijzen als geldige ondertekenaar voor transacties die zij beheerden, en hoewel dat normaal gesproken onschadelijk genoeg zou zijn, had de afwikkelingsfunctie een apart probleem: het controleerde autorisatie tegen één adres terwijl het daadwerkelijk fondsen ophaalde van een ander adres.

Zoals beschreven in een technisch rapport gepubliceerd door beveiligingsonderzoeker Defi Nerd, gebruikte de aanvaller die kloof om vier drain-transacties uit te voeren tegen het TrustedVolumes resolver-contract, dat de proxy eerder toestemming had gegeven om zijn tokens te verplaatsen.

Volgens hen haalde de proxy elke keer activa op van de resolver en stuurde slechts één enkele onbewerkte USDC-eenheid terug. Vervolgens converteerde de aanvaller de gestolen WETH terug naar ETH en stuurde alles door naar zijn eigen wallet.

TrustedVolumes bevestigde de exploit en publiceerde publiekelijk drie walletadressen met de gestolen fondsen, waarbij de hacker werd verzocht contact op te nemen over een "bug bounty en een wederzijds aanvaardbare oplossing."

1inch distantieert zich terwijl DeFi-hacks doorgaan

Omdat TrustedVolumes functioneert als liquiditeitsverschaffer en marktmaker op 1inch, beschreven sommige vroege rapporten het incident als een 1inch-exploit.

Dat is echter niet nauwkeurig, en zowel 1inch als Blockaid publiceerden verklaringen waarin werd verduidelijkt dat het protocol zelf niet was gecompromitteerd en geen gebruikersfondsen op 1inch waren getroffen. TrustedVolumes opereert onafhankelijk op meerdere platforms, niet uitsluitend op 1inch.

De aanval vond plaats tijdens een bijzonder moeilijke periode voor het DeFi-ecosysteem, omdat het volgde op een rampzalige maand april, waarin meer dan $650 miljoen aan crypto werd gestolen van verschillende projecten.

KelpDAO en Drift Protocol waren het meest getroffen, met respectievelijk $292 miljoen en $285,2 miljoen dat hen werd ontnomen.

Met $5,9 miljoen is deze laatste exploit dan ook kleiner van schaal. Maar de technische verfijning van de aanpak — het inzetten van een helper-contract, het misbruiken van zelfbedieningsondertekenaarregistratie en het exploiteren van een maker/financieringsbron-mismatch in één enkele transactie — plaatst het in een andere categorie dan een eenvoudige bug of verkeerde configuratie.

The post Hacker Drains $5.9M From Ethereum Liquidity Provider TrustedVolumes appeared first on CryptoPotato.