Die aktuelle Woche geht nicht spurlos am Bereich der Decentralized Finance (DeFi) vorbei. Im Gegenteil: Das Yield-Farming-Protokoll TempleDAO und die Derivate-Plattform MangoMarkets wurden am 11. Oktober ausgebeutet.
Wie PeckShieldAlert gestern auf Twitter mitteilte, hatte ein Angreifer 1.831 ETH aus einem Smart Contract der TempleDAO-Plattform geräumt – Gegenwert: knapp 2,4 Millionen US-Dollar. Grund dafür war eine Schwachstelle im StaxLPStaking Smart Contract.
Wie das DeFi-Projekt STAX im Anschluss twitterte, handelte es sich offenbar um eine einzelne Entität, von der der Exploit ausging. Wie das Krypto-Projekt im Anschluss mitteilte, arbeitet es nun gemeinsam mit der Krypto-Exchange Binance daran, den Angreifer ausfindig zu machen.
Wir sind an der Sache gemeinsam mit Binance dran und werden eine White Hat Bounty für den Angreifer aussetzen. Wir werden die bestehende Belohnung bei Hats Finance erhöhen und eine sichere Verbindung herstellen, falls sich der Hacker dazu entschließt, das Geld zurückzugeben, um die rechtmäßige Belohnung zu bekommen.
STAX
Mango Markets leidet ebenfalls
Beim DeFi-Protokoll Mango Markets sieht es weitaus düsterer aus. Hier beläuft sich der geschätzte Schaden aktuell auf 100 Millionen US-Dollar. Der Angreifer bietet allerdings an, das erbeutete Geld zurückzugeben.
Wie der Angreifer auf der Mango-Markets-Plattform verkündet, will er die Beute zurückgeben, wenn Mango Market sich dazu bereit erklärt, 70 Millionen US-Dollar in Form von USDC zu nutzen, um alte Schulden zu begleichen.
Denn offenbar hat Mango Markets im Juni gemeinsam mit der Lending-Plattform Solend Geld aus dem Protokoll genommen, um die Schulden eines unbekannten Wals zu begleichen. Seine Schulden beliefen sich auf 207 Millionen US-Dollar und verteilten sich auf verschiedene Lending-Protokolle. Die Summe war offenbar so groß, dass sie bei einer Liquidierung die Stabilität des gesamten Protokolls gefährdet hätte. Dieses Geld sollen sie nach der Forderung des Angreifers nun zurückzahlen.
Das Abstruse an der Sache: Der Angreifer nutzt seine erbeuteten Coins, um für seinen eigenen Vorschlag im Protokoll zu stimmen. Damit führt er den Begriff der “dezentralen autonomen Organisation” (DAO) ad absurdum.
Als einzelne Entität klaut er Coins, bringt einen Vorschlag ein und nutzt seine gestohlenen Coins, um für seinen eigenen Vorschlag zu stimmen. Kleiner Bonus des Hacker-Trolls: Sollte sein Vorschlag angenommen werden (momentan sieht es gut aus), wird er nicht strafrechtlich verfolgt.
Indem sie für diesen Vorschlag stimmen, erklären sich die Inhaber der Mango Token bereit, die Bounty zu bezahlen und die Schulden aus der Treasury zu begleichen. Außerdem werden sie keine Ansprüche gegen den Inhaber [der Schulden] stellen, keine strafrechtliche Verfolgung anstreben und keinerlei Konten einfrieren, sobald die Token zurückgezahlt sind.
Hacker
