Cream Finance: Der nächste Defi-Hack räumt 130 Millionen US-Dollar ab
Die Serie der gewaltigen Defi-Hacks, die die Welt der dezentralen Finanzen seit Monaten plagt, will partout nicht abreißen. Nun hat es das Team von Cream Finance erwischt, und zwar nicht zu knapp. In einem Tweet hat das Unternehmen bestätigt, um diverse Bestände im Gegenwert von rund 130 Millionen US-Dollar erleichtert worden zu sein.
„Mit der Hilfe von Freunden von @iearnfinance und anderen in der Community konnten wir die Schwachstellen identifizieren und sie patchen. In der Zwischenzeit haben wir unsere v1-Lending-Märkte auf Ethereum pausiert und wir sind dabei, einen Post-Mortem-Bericht zusammenzustellen“, heißt es in dem fraglichen Tweet. Die Sicherheitslücke wurde von Peckshield aufgedeckt. Der Blockchain-Sicherheitsdienst identifizierte eine große Flash-Darlehenstransaktion, die zur Durchführung der Sicherheitslücke verwendet wurde. Laut Blockchain-Aufzeichnungen wurden 92 Millionen Dollar auf eine Adresse und 23 Millionen Dollar auf eine andere Adresse gestohlen. Von da aus gelangten die Gelder offenbar in diverse andere Wallets und sind nunmehr schwer nachzuverfolgen.
Cream Finance war schon mehrfach das Ziel von Defi-Hacks
Bei dem Diebesgut handelte es sich hauptsächlich um Cream-LP- und andere ERC-20-Token. Cream-LP-Token sind Boni für Einzahlungen in die Cream-Pools. Der Preis von Cream (CREAM) ist laut Coingecko nach Bekanntgabe des Hacks innerhalb von Minuten von 152 auf 111 Dollar gefallen – ein Rückgang von 27 Prozent. Aber waren die Sicherheitslücken womöglich schon im Vorfeld bekannt?
„Hacker haben eine Spielwiese bei Cream Finance. Cream Finance muss bessere Prüfungen durchführen“, schreibt ein Kommentator auf Etherscan. Der Spruch kommt sicherlich nicht von ungefähr, wurde das Protokoll doch in seiner Geschichte mehrfach von Flash-Loan-Angriffen heimgesucht. Erst im Februar verlor es 37,5 Millionen Dollar und im August weitere 18,8 Millionen Dollar. Der Angreifer höchstselbst hinterließ diesmal eine eher kryptische Nachricht: „gÃTµ Baave lucky, iron bank lucky, cream not. ydev : incest bad, dont do.“ Dies könnte man als Anspielung auf die Defi-Lending-Plattformen Aave und Iron Bank sowie eben auch auf Cream Finance verstehen. Ganz so, als wären bei den beiden erstgenannten die Angriffsversuche fehlgeschlagen.
Der aktuelle Hack ist laut einer Rangliste von Rekt der drittgrößte überhaupt. Wobei zu erwähnen ist, dass bei den beiden größeren Hacks Gelder zurückgegeben wurden. Damit steigt der Gesamtbetrag der bei Defi-Angriffen gestohlenen Gelder auf über 500 Millionen Dollar. Neun der zehn größten Defi-Hacks stammen alleine aus diesem Jahr.
Autor des Artikels ist Christian Stede.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team