Anzeige
Anzeige
News
Artikel merken

Nächster Defi-Hack: Cream Finance verliert 30 Millionen Euro

Durch einen Fehler in der Implementation des AMP-Tokens in die Defi-Plattform Cream Finance konnten Hacker Token im Wert von 30 Millionen Euro klauen. Es ist bereits der zweite Vorfall in diesem Jahr.

2 Min. Lesezeit
Anzeige
Anzeige

Ob Hacker im Finanzbereich Anzug und Handschuhe tragen, ist noch nicht durch Studien belegt. (Foto: Twinsterphoto/ Shutterstock.com)

Cream Finance vergibt Krypto-Kredite per Smart Contract. Über einen Bug in einem der Contracts konnte mindestens ein Angreifer die Kreditvergabefunktion aushebeln und Krypto-Coins und Token im Gegenwert von rund 30 Millionen Euro entwenden. Im Einzelnen verlor Cream rund 462 Millionen AMP-Token (etwa 21 Millionen Euro) und rund 2.800 Ether (rund neun Millionen Euro).

Hacker missbraucht Kreditvergabefunktion

Anzeige
Anzeige

In einem ausführlichen Blogbeitrag zur Analyse des Hacks erläutert Cream Finance, dass es sich bei der Attacke um einen sogenannten Reentrancy-Angriff gehandelt habe. Gelingt diese Art von Angriff, können Funktionen in eine Schleife gesetzt und so wieder und wieder ausgeführt werden, ohne dass etwaige Kontenstände sichtbar aktualisiert werden.

Bei Cream Finance sei eine Kreditvergabefunktion auf diese Weise überlistet worden, heißt es. Statt einer sei es zu insgesamt 17 missbräuchlichen Transaktionen gekommen. Zudem soll es einen weiteren Täter mit der gleichen Vorgehensweise, aber geringerem Erfolg gegeben haben.

Anzeige
Anzeige

Wie Cream Finance mithilfe der Sicherheitsfirma Peckshield herausfinden konnte, soll die Sicherheitslücke in der Implementierung des nach ERC-777-Standard geschaffenen AMP-Token ins eigene Protokoll zu finden sein. Einen Patch gibt es bislang nicht. Cream Finance hat daher alle Kreditfunktionen um das AMP-Token bis auf Weiteres gesperrt. Der Dienst verspricht den entstandenen Schaden voll zu ersetzen. Dazu soll ein Teil der vereinnahmten Gebühren eingesetzt werden.

Anzeige
Anzeige

Cream Finance zum zweiten Mal getroffen

Cream Finance ist ein auf Smart Contracts beruhender dezentraler Finanzdienstleister, der sich auf Kreditgeschäfte mit Kryptowährungen spezialisiert hat. Nutzende der Plattform können eigenständig Kryptowährungen verzinslich verleihen und ebenso ausleihen, also Kredite geben oder aufnehmen. Cream Finance läuft wie der AMP-Token auf der Ethereum-Plattform und ist dem rasant wachsenden Defi-Markt zuzurechnen, der allerdings in letzter Zeit immer wieder mit schweren Angriffen zu kämpfen hatte.

Auch bei Cream Finance ist der Vorfall nicht der erste in diesem Jahr. Schon im Februar hatten Hacker Creams Plattform Ironbank um Assets im Wert von rund 38 Millionen US-Dollar erleichtert. Seinerzeit erfolgt der Angriff aber nicht direkt auf die Plattform, sondern über einen Kryptodienst des Kooperationspartners Alpha Finance.

Anzeige
Anzeige

Cream Finance hofft auf Poly-Network-Verlauf

Im August erlitt die Plattform Poly Network mit über 600 Millionen Dollar den schwersten Verlust der noch jungen Defi-Historie. Poly Network hatte aber Glück im Unglück: Der Hacker gab die Summe in mehreren Tranchen zurück. Poly Network hatte ihm Straffreiheit zugesichert und ihm sogar eine Stelle als Sicherheitsberater angeboten.

Daran will sich Cream Finance wohl ein Beispiel nehmen. Man sei bereit, zehn Prozent der erbeuteten Summe als „Bug-Bounty“, also als Belohnung für das Finden der Sicherheitslücke ohne weitere Konsequenzen beim Angreifer zu belassen, lässt Cream Finance verlauten. Für den Fall, dass der sich daran als nicht interessiert erweist, fährt die Plattform zweigleisig. So hat sie eine Belohnung in Höhe von 50 Prozent der tatsächlich wieder zurückfließenden Coins und Token für diejenigen ausgelobt, deren Hinweise zur Ergreifung des Täters führen.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Schreib den ersten Kommentar!
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige