en
zh
fr
es
tr
pt
nl
ru
uk
hi
Ein aktueller Vorfall im Bereich der dezentralen Finanzen (DeFi) hat die Aufmerksamkeit auf Sicherheitslücken gelenkt, die von Angreifern ausgenutzt werden können. Ein Hacker nutzte eine Schwachstelle im US Permissionless Dollar (USPD)-Protokoll aus und entwendete Liquidität im Wert von über einer Million US-Dollar.
Wie kam es zu dem Hack?
Laut einem Bericht des USPD-Teams in den sozialen Medien zahlte ein unbekannter Angreifer 3.122 ETH ein und erzeugte in einer einzigen Transaktion 98 Millionen USPD-Token. Dadurch entsprach die Menge der erzeugten Token dem Zehnfachen der ursprünglichen Einzahlung, und der Hacker erhielt zusätzlich 237 stETH. Die gestohlenen Krypto-Assets wurden über die dezentrale Börse Curve gegen 300.000 USDC-Stablecoins getauscht.
Nachdem die kritische Sicherheitslücke im Protokoll entdeckt worden war, rieten die USPD-Entwickler ihren Kunden dringend davon ab, USPD-Stablecoins zu kaufen und alle Berechtigungen umgehend zu widerrufen.
CPIMP-Angriffsmethode
Das Protokollteam stellte klar, dass für den Hack eine ausgeklügelte Angriffsmethode namens CPIMP (Clandestine Proxy In the Middle of Proxy) verwendet wurde. Der Angreifer erlangte bereits vor einigen Monaten die Kontrolle über den Proxy-Server. Am 16. September initiierte er den Initialisierungsprozess mithilfe der Multicall3-Transaktion. Mithilfe von CPIMP konnte der Hacker unbemerkt administrative Rechte erlangen und die Protokollskripte vollständig kontrollieren, wodurch er unautorisiert Token ausgeben konnte.
Schattenvertrag
Um die schädliche Konfiguration vor Nutzern, Prüfern und sogar dem Ethereum-Blockchain-Explorer Etherscan zu verbergen, implementierte der Angreifer einen Schattenvertrag, der Aufrufe an den zu verifizierenden Vertrag umleitete. Mithilfe dieser Tarnung manipulierte er Ereignisdaten und fälschte Speicherplätze, um Block-Explorer dazu zu bringen, die Ausführung eines sicheren Vertrags zu melden. Dadurch konnte der Hacker den Smart Contract mehrere Monate lang vollständig kontrollieren, bis er den Proxy-Server aktualisierte und Token ausgab, um das Protokoll zu erschöpfen.
Reaktion des USPD-Teams
Das USPD-Team gab bekannt, dass es Strafverfolgungsbehörden, Sicherheitsexperten und große Kryptobörsen eingeschaltet hat, um den Vorfall zu untersuchen und die Geldflüsse nachzuverfolgen. Die USPD-Entwickler boten dem Angreifer als Belohnung für seine Kooperation eine Rückerstattung von 90 % an und unterstrichen damit die Ernsthaftigkeit der Situation und ihr Engagement bei der Wiedererlangung der verlorenen Gelder.
Fazit
Dieser Vorfall verdeutlicht, dass selbst in der Welt der dezentralen Finanzen, in der Sicherheit und Transparenz zentrale Prinzipien sind, Schwachstellen existieren, die von Angreifern ausgenutzt werden können. Entwicklerteams müssen daher weiterhin an der Verbesserung der Sicherheit ihrer Protokolle arbeiten, um ähnliche Angriffe in Zukunft zu verhindern.
