Nächster Defi-Hack: Angreifer stehlen 15,6 Millionen Dollar von Inverse Finance
In jüngster Zeit sind mehrere Defi-Protokolle Opfer von Hackerangriffen geworden. (Foto: Gorodenkoff / Shutterstock)
Der Krypto-Kreditgeber Inverse Finance ist Anfang April 2022 Opfer eines Hackerangriffs geworden. Das Ethereum-basierte Lending-Protokoll war von einem Exploit betroffen. Die Angreifer:innen erbeuteten Kryptowährungen im Wert von umgerechnet 15,6 Millionen Dollar. Dafür trieben sie Token-Werte in die Höhe, um dann Kredite aufnehmen zu können, bei denen die gefälschten Werte als Sicherheit dienten.
Erst zahlten die Hacker:innen selbst Geld ein
Die Hacker:innen gingen bei dem Angriff sehr geplant vor. Mehrere Schritte waren nötig, um den Kredit-Betrug durchzuführen. Zuerst hoben die Hacker:innen 901 ETH, umgerechnet drei Millionen Dollar, bei Tornado Cash ab. Die Plattform ist für anonyme Krypto-Transaktionen bekannt. Anschließend zahlten sie das Geld in verschiedene Depots auf Sushi-Swap ein. Über diese dezentrale Kryptobörse trieben sie so den Preis des nativen Token von Inverse in die Höhe. Das berichtet das Blockchain-Sicherheitsunternehmen Peckshield laut Coindesk.
Der Krypto-Kreditgeber beobachtet die über ein Keepr3r-Orakel – das tricksten sie aus. Das Preisorakel erfasste den überhöhten Wert. Den künstlich an Wert in die Höhe getriebenen Token nutzten sie schließlich, um bei Anchor einen Kredit aufzunehmen. So konnten sie Sicherheiten, durch den Inverse-Token, hinterlegen, die es eigentlich gar nicht gibt.
Die Beute: Kryptowährungen im Wert von umgerechnet 15,6 Millionen Dollar
Die Angreifer:innen erbeuteten so einen millionenschweren Kredit. Aufgeteilt ist der Wert von umgerechnet 15,6 Millionen Dollar in 1.588 ETH, 39 YFI, 94 WBTC und 3.999.669 Dola. Ihre Beute buchten die Hacker:innen genauso verschlüsselt zurück wie sie den Anfangswert bewegt hatten: über Tornado Cash. Ein Teil der Beute blieb jedoch auf der Ethereum-Wallet der Hacker:innen.
Der präzise Plan hat geklappt – allerdings war er auch mit einem hohen Risiko verbunden. Schließlich mussten die Hacker:innen erstmal umgerechnet drei Millionen Dollar einzahlen, um mit der Durchführung beginnen zu können. Hätten sie die Zeitspanne, während der Inverse-Token deutlich über seinem tatsächlichen Wert lag, nicht nutzen können, wäre ihr Plan nicht aufgegangen.
Reaktionen: Pausierte Kreditvergabe und Neubau eines Orakle
Der betroffene Krypto-Kreditgeber hat als Reaktion erst mal die Kreditvergabe über Anchor pausiert. Außerdem soll ein neues Orakle gebaut werden. Dazu sollen Wallets, die von der Preismanipulation betroffen gewesen sind, die Werte zurückgezahlt bekommen. Wie genau das aussehen soll, ist allerdings noch nicht bekannt.
Der Angriff von Inverse Finance erfolgt in einer Woche, in der es bereits zwei weitere Defi-Protokolle erwischt hat. Bei Ola Finance erbeuteten Hacker:innen 3,6 Millionen Dollar. Außerdem wurde das Ronin-Netzwerk angegriffen, mehr als 625 Millionen Dollar wurden geraubt.
