Jemand hat 120 Millionen Dollar in Krypto gestohlen, indem er eine DeFi-Website gehackt hat

0
175

Am Mittwochabend hat jemand Gelder aus mehreren Kryptowährungs-Wallets abgezogen, die mit der dezentralisierten Finanzplattform BadgerDAO verbunden waren. Laut der Blockchain-Sicherheits- und Datenanalyse Peckshield, die mit Badger zusammenarbeitet, um den Überfall zu untersuchen, haben die verschiedenen bei dem Angriff gestohlenen Token einen Wert von etwa 120 Millionen US-Dollar.

Während die Untersuchung noch andauert, haben Mitglieder des Badger-Teams den Benutzern mitgeteilt, dass sie glauben, dass das Problem von jemandem verursacht wurde, der ein bösartiges Skript in der Benutzeroberfläche ihrer Website. Für alle Benutzer, die mit der Site interagierten, während das Skript aktiv war, würden Web3-Transaktionen abgefangen und eine Anfrage zur Übertragung der Token des Opfers an die vom Angreifer gewählte Adresse eingefügt.

Aufgrund der Transparenz der Transaktionen können wir sehen, was passiert ist, als die Angreifer sich gestürzt haben. PeckShield weist auf eine Überweisung hin, bei der 896 Bitcoin im Wert von mehr als 50 Millionen US-Dollar in die Kassen des Angreifers gezerrt wurden. Nach Angaben des Teams tauchte der bösartige Code bereits am 10. November auf, da die Angreifer ihn in scheinbar zufälligen Abständen ausführten, um eine Entdeckung zu vermeiden.

Dezentrale Finanzsysteme (oder DeFi) basieren auf der Blockchain-Technologie, damit Krypto-Besitzer typischere Finanzoperationen wie das Verdienen von Zinsen durch Kreditvergabe durchführen können. BadgerDAO verspricht den Benutzern, dass sie „sich beruhigt zurücklehnen können, da Sie wissen, dass Sie die privaten Schlüssel für Ihre Kryptowährung nie aufgeben müssen, Sie jederzeit abheben können und unsere Strategen Tag und Nacht daran arbeiten, Ihre Vermögenswerte zum Laufen zu bringen“. Sein Protokoll ermöglicht es Leuten, die Bitcoin besitzen, ihre Kryptowährung über seinen Token zur Ethereum-Plattform zu „überbrücken“ und DeFi-Möglichkeiten zu nutzen, auf die sie sonst keinen Zugriff haben.

Als Badger von den nicht autorisierten Übertragungen erfuhr, wurde es pausiert alle Smart Contracts, im Wesentlichen die Plattform einfrieren, und riet den Benutzern, alle Transaktionen an die Adressen des Angreifers abzulehnen.

Donnerstagabend teilte das Unternehmen mit, es habe „die Datenforensik-Experten Chainalysis zurückgehalten, um das volle Ausmaß des Vorfalls zu untersuchen & Behörden in den USA & Kanada wurde informiert & Badger kooperiert vollumfänglich bei externen Untersuchungen und führt auch eigene Untersuchungen durch.“

Badger untersucht unter anderem, wie der Angreifer offenbar über einen API-Schlüssel auf Cloudflare zugegriffen hat, der durch eine Zwei-Faktor-Authentifizierung hätte geschützt werden sollen. Während der Angriff keine spezifischen Mängel in der Blockchain-Technologie selbst aufdeckte, gelang es ihm, die ältere „Web 2.0“-Technologie auszunutzen, die die meisten Benutzer für die Durchführung von Transaktionen benötigen. Multi-Faktor-Authentifizierungssysteme schützen unsere Konten vor vielen Phishing-Schemata oder Massen-Credential-Stuffing-Angriffen. Dennoch warnen Experten immer wieder vor gezielten Phishing-Angriffen, die dies umgehen können, während Toolkits zur Automatisierung des Prozesses seit Jahren verfügbar sind. In einer FBI-Mitteilung aus dem Jahr 2019 (pdf) wurden die wachsenden Fähigkeiten von Kriminellen zur Umgehung von MFA genannt und Änderungen oder Schulungen vorgeschlagen, die die Durchführung solcher Angriffe erschweren könnten.

'eines der sicherheitsbewusstesten Teams in DeFi'

Die richtige Zwei-Faktor-Authentifizierung kann selbst bei typischen Finanzanwendungen schwierig sein – fragen Sie einfach PayPal. Aber Vorfälle wie dieser oder die gestohlene und zurückgegebene 600-Millionen-Dollar-Entführung, die Poly Network im August erlitt, oder der 53-Millionen-Dollar-Überfall, der 2016 das erste DAO traf, reichen hoffentlich aus, um das Bewusstsein für Sicherheit über Protokolle und Verschlüsselung hinaus zu erweitern.

Ein Kommentator bei Badger's Discord fasste die Situation so zusammen, dass er sagte: “Alle [die] Blockchain-/Smart-Contract-Audits der Welt, und die Leute verlieren 120 Millionen durch ein Cloudflare-API-Leck durch eine schlampige” Team, bei dem ein Typ im Header der Site eine neue Genehmigung zu seinem Vertrag erteilt – GG – wir haben noch einen langen Weg vor uns. Ein Mitglied des Teams sagte: “Ich bin mir sicher, dass wir danach einige Maßnahmen zur Schadensbegrenzung vorschlagen werden.”

Welche Gelder zurückgefordert werden können und wie die Betroffenen gesund werden, ist noch unbekannt. Aber für jeden, der in der Welt der Krypto-, Blockchain- und Web3-Apps lebt, kann es letztendlich an ihnen liegen, zu lernen, wie Genehmigungen, Unterzeichnungen und Transaktionen wirklich funktionieren, und sie im Auge zu behalten. Vor allem, wenn Millionen von Dollar an Beständen augenblicklich verschwinden können, selbst wenn sie von „einem der sicherheitsbewusstesten Teams in DeFi“ verwaltet werden, wie sich Badger selbst nennt.

BadgerDAO nennt sich selbst Bild: BadgerDAO