Hacker entwendet $5,9 Millionen von Ethereum-Liquiditätsanbieter TrustedVolumes
Der Liquiditätsanbieter TrustedVolumes auf der Ethereum-Blockchain hat am Donnerstag einen Verlust von etwa $5,9 Millionen durch einen Hackerangriff erlitten.
Der Angreifer nutzte eine Schwachstelle im benutzerdefinierten Handelssystem der Plattform aus und konnte Gelder abziehen, darunter ETH, WBTC sowie die Stablecoins USDT und USDC.
Details des Angriffs
Laut der Blockchain-Sicherheitsfirma Blockaid, die den Angriff in Echtzeit beobachtete, umfassten die gestohlenen Gelder 1.291 WETH, etwa 16,9 WBTC, rund 206.000 USDT und knapp 1,27 Millionen USDC.
Der Angriff erfolgte durch Ausnutzung eines Designfehlers im benutzerdefinierten Order-Abwicklungssystem von TrustedVolumes, bekannt als Request for Quote (RFQ) Proxy.
GoPlus Security veröffentlichte eine Analyse, die zeigt, dass der Angreifer sich selbst als autorisierter „Order Signer“ registrierte, indem er eine öffentlich zugängliche Funktion namens „registerAllowedOrderSigner()“ nutzte.
Diese Funktion erlaubt es jedem, seine eigene Adresse als gültigen Signierer für von ihm kontrollierte Trades zu registrieren. Das eigentliche Problem lag jedoch in der Abwicklungsfunktion, die die Autorisierung gegen eine Adresse prüfte, während die Gelder von einer anderen Adresse abgezogen wurden.
Wie in einem technischen Bericht von Sicherheitsforscher Defi Nerd beschrieben, nutzte der Angreifer diese Lücke, um vier Abzugs-Transaktionen gegen den TrustedVolumes Resolver-Vertrag auszuführen, der dem Proxy zuvor die Erlaubnis erteilt hatte, seine Token zu bewegen.
Jedes Mal zog der Proxy Vermögenswerte vom Resolver ab und sendete nur eine einzelne USDC-Einheit zurück. Anschließend konvertierte der Angreifer die gestohlenen WETH in ETH und leitete alles an seine eigene Wallet weiter.
TrustedVolumes bestätigte den Angriff und veröffentlichte öffentlich drei Wallet-Adressen, die die gestohlenen Gelder halten, mit der Bitte an den Hacker, sich bezüglich einer „Bug-Bounty und einer einvernehmlichen Lösung“ zu melden.
1inch distanziert sich von DeFi-Hacks
Da TrustedVolumes als Liquiditätsanbieter und Market Maker auf 1inch fungiert, wurde der Vorfall zunächst als 1inch-Exploit dargestellt.
Dies ist jedoch nicht korrekt, und sowohl 1inch als auch Blockaid stellten klar, dass das Protokoll selbst nicht kompromittiert wurde und keine Nutzerfonds auf 1inch betroffen waren. TrustedVolumes operiert unabhängig auf mehreren Plattformen und nicht ausschließlich auf 1inch.
Der Angriff ereignete sich in einer besonders schwierigen Phase für das DeFi-Ökosystem, da er einem katastrophalen April folgte, in dem mehr als $650 Millionen an Kryptowährungen von verschiedenen Projekten gestohlen wurden.
Am stärksten betroffen waren KelpDAO und Drift Protocol, denen $292 Millionen bzw. $285,2 Millionen entwendet wurden.
Mit $5,9 Millionen ist dieser jüngste Angriff zwar kleiner, aber die technische Raffinesse des Ansatzes, der Einsatz eines Hilfsvertrags, die Ausnutzung der Selbstregistrierung von Signierern und die Ausnutzung eines Fehlers bei der Zuordnung von Maker und Finanzierungsquelle in einer einzigen Transaktion, hebt ihn von einem einfachen Bug oder einer Fehlkonfiguration ab.
