Das DeFi-Lending Protocol Lendf.Me hat am 19. April einen Angriff verkraften müssen. Dabei konnten Unbekannte schätzungsweise 25 Millionen US-Dollar in Form von Krypto-Assets entwenden.
Das teilt Lendf.Me-Geschäftsführer Mindao Yang in einem Blog-Eintrag auf Medium mit. Die Mitarbeiter hätten in den Morgenstunden des 19. Aprils über das interne Monitoring-System von dem Angriff erfahren. Anschließend hat Lendf.Me gezwungenermaßen den Betrieb eingestellt, um die Situation zu analysieren, so Yang weiter.
Die Hacker haben laut offiziellen Angaben zunächst eine Schwachstelle im Token-Standard des imBTC-Coins gefunden, und dort einen Re-Entrancy-Angriff durchgeführt. Beim imBTC-Coin handelt es sich um eine tokenisierte Form von Bitcoin (BTC) im DeFi-Ökosystem, die insgesamt eine höhere Liquidität verspricht:
Der tokenisierte BTC ist dazu fähig, mit Smart Contracts zu interagieren und leicht in dezentrale Transaktion sowie Finanz-Services integrierbar und verleiht dem Ethereum-Ökosystem mehr Liquidität. […] Wie Bitcoin, nur ohne die Nachteile von Bitcoin.
Letztlich handelt es sich also um einen Ethereum-basierten Token, der den Gegenwert von Bitcoin abbilden soll. Über den Re-Entrancy-Angriff konnten die Angreifer den Smart Contract nun so manipulieren, dass sie die Token schneller von der Plattform abziehen konnten als die Gutschrift stattfand. Dieses Vorgehen hatten die Angreifer zunächst am 18. April auf der imBTC-Plattform eingeübt und dann auf die Lendf.Me-Plattform übertragen.
Die Angreifer seien mit den Betreibern des DeFi-Protokolls in Kontakt getreten. Lendf.Me sei darauf eingegangen und stehe nun mit ihnen in Verhandlung. Die Justizbehörden aus verschiedenen Regionen seien bereits informiert, die Rechtsabteilung von Lendf.Me aktiv und man arbeite daran, die Adressen der Hacker auf eine schwarze Liste zu setzen. Im Zuge erhöhter Sicherheitsbemühungen hat Lendf.Me, so Yang weiter, ein Sicherheits–Unternehmen beauftragt. Darüber hinaus arbeite man mit Krypto-Börsen zusammen, um die Spuren der Hacker nachzuverfolgen.
Was ist bloß mit DeFi los?
Auch beim DeFi-Protokoll MakerDAO kam es jüngst zu neuen Turbulenzen. Der Markteinbruch im Zuge des Corona Crashs am „schwarzen Donnerstag“ ermöglichte es, dass Bots hinterlegte Positionen auf der Maker-Plattform (Collateral Debt Positions, CDP) zum Nulltarif aufkaufen konnten. Investoren mussten deshalb Verluste im zweistelligen Millionen-Bereich verkraften. Die Maker Foundation sieht sich nun einer Klage gegenüber. Sie soll von dieser Schwachstelle gewusst haben und Investoren bewusst über diese Gefahr hinweggetäuscht haben.
