Die auf Ethereum basierende Kreditvermittlungsplattform Inverse Finance (INV) meldete am Samstag, dass sie Opfer eines Angriffs wurde. Hierbei erbeutete ein Angreifer Kryptowährungen im Wert von 15,6 Millionen US-Dollar.
Nach Ansicht von Inverse konzentrierte sich der Angreifer auf den Anchor (ANC)-Geldmarkt. Dabei wurden die Token-Preise künstlich manipuliert, um Kredite gegen extrem schlechte Sicherheitsleistungen aufzunehmen.
Die Methoden werden immer raffinierter
Es ist bereits der dritte millionenschwere Hack eines dezentralen Finanzprotokolls (DeFi), der in letzter Zeit für Schlagzeilen gesorgt hat. Dies zeigt, dass die Angreifer immer raffiniertere Techniken an den Tag legen. So hat das auf Spiele fokussierte Ronin-Netzwerk einen Verlust von mehr als 625 Millionen US-Dollar in Kryptowährungen bekannt gegeben, während zwei Tage später das Kreditprotokoll Ola Finance um 3,6 Millionen US-Dollar erleichtert wurde.
Dem Blockchain-Sicherheitsunternehmen PeckShield zufolge profitierte der Angreifer von Inverse von einer Schwachstelle in einem Keep3r-Preisorakel, mit dessen Hilfe Inverse die Preise von Token verfolgt. Durch einen Trick gaukelte der Angreifer dem Orakel vor, dass der Preis des INV-Tokens von Inverse außergewöhnlich hoch sei. Anschließend nahm er Kredite in Höhe von mehreren Millionen Dollar bei Anchor auf, wobei er das aufgeblasene INV als Sicherheit verwendete.
Dieser Angriff war bemerkenswert gut finanziert; um ihn erfolgreich durchzuführen, hob der Angreifer als erstes 901 ETH (etwa 3 Millionen US-Dollar) von Tornado Cash ab. Auf diese Weise können Kryptowährungen ausgezahlt werden, ohne eine eindeutige Spur zu hinterlassen. Anschließend investierte der Angreifer die Geldmittel in mehrere Handelspaare auf der dezentralen Börse SushiSwap, was den Kurs von INV in den Augen des Keep3r-Preisorakels in die Höhe trieb.
Als der INV-Kurs ausreichend hoch war, nahm der Angreifer INV-gesicherte Kredite bei Anchor auf, ehe Arbitrageure den INV-Kurs wieder auf ein normales Niveau zurückbrachten.
Ein Vertreter von PeckShield erklärte, dass dieser Angriff mit einem hohen Risiko verbunden war. Tatsächlich wären die Kryptowährungen im Wert von 3 Millionen US-Dollar, mit denen das Preisorakel ausgetrickst wurde, vollständig verloren gewesen… nämlich dann, wenn der INV-Preis wieder auf ein normales Niveau gefallen wäre, bevor der Angreifer die Kredite aufgenommen hätte.
Wie viel konnte der Hacker erbeuten und was passiert jetzt?
Alles in allem schaffte es der Angreifer, mit 1.588 ETH, 94 WBTC, 39 YFI und 3.999.669 DOLA abzuhauen. Die meisten dieser Gelder hat der Angreifer über Tornado Cash zurückgeführt – es ist daher schwer zu sagen, wo die Gelder am Ende landen werden. Allerdings verbleiben 73,5 ETH (etwa 250.000 US-Dollar) in der ursprünglichen Ethereum-Wallet des Hackers.
Inverse sagte in seiner Ankündigung, dass es vorübergehend alle Ausleihungen auf Anchor pausiert hat. Außerdem sagte ein Vertreter der Firma, dass das Protokoll mit Chainlink zusammenarbeitet, um ein neues INV-Orakel zu bauen.
Des Weiteren gab Inverse bekannt, dass es beabsichtigt, seiner dezentralen autonomen Organisation (DAO) einen Vorschlag zu unterbreiten. Damit soll sichergestellt werden, dass alle Wallets, die von der Preismanipulation betroffen sind, zu 100% zurückgezahlt werden, ohne jedoch nähere Details zu nennen.
Quellen: www.coindesk.com