- ThorChain, einer der beliebtesten Cross-Chain DEXs, hat einen Exploit erlitten, bei dem der Angreifer mit 4.000 Ether davongekommen ist.
- Das Team hat schnell reagiert, um den Fehler zu finden, der ausgenutzt wurde, und einen Fix veröffentlicht, der, wenn er von der Community akzeptiert wird, innerhalb von 24 Stunden implementiert wird.
Eine der beliebtesten dezentralen Cross-Chain-Börsen (DEXs) ist angegriffen worden, nur Wochen nach einem ähnlichen Angriff. Etliche Tausend Ether sind weg. THORChain berichtete den Exploit auf Twitter an und erklärte, dass der Angreifer die ETH Bitfrost mit einem benutzerdefinierten Wrapper-Vertrag ausgetrickst hatte. Der Betreiber versprach, den ETH-Liquidität-Providern die gestoglenen Gelder zu ersetzen.
Die THORChain-Entwickler gingen zunächst davon aus, die Angreifer hätten sich mit 13.000 ETH aus dem Staub gemacht. Allerdings korrigierten sie dies später und bezifferten den Schaden mit 4.000 ETH. Daraufhin stoppten sie das Netzwerk, um das Ausmaß des Exploits zu untersuchen und herauszufinden, wie man die Sicherheitslücke schnell schließen kann.
At this stage the estimate is around ~4000 ETH worth of assets (ETH/ERC20) was taken, not 13k ETH.
More detailed assessment and recovery steps will be announced soon.
The users who suffered (LPs) will be made whole in the coming weeks. https://t.co/LR2x8VZ2kx
— THORChain (@THORChain) July 15, 2021
In einer ersten Einschätzung geht das Team davon aus, dass der Angriff durch die ETH-Bitfrost kam, die vor kurzem „aktualisiert worden war, um dem Router zu ermöglichen, von Verträgen „gewrapped“ zu werden, um Composability zu gewährleisten“.
„Der Angreifer hat Bifrost dann ausgetrickst, indem ein benutzerdefinierten Wrapper-Contract benutzt wurde, mit dem aber tatsächlich 0 ETH übertragen wurden“, so die Entwickler.
Als Reaktion darauf veröffentlichte das Team einen Patch und startete das Netzwerk neu, blockierte die anstehenden Outbounds und stellte die Zahlungsfähigkeit wieder her.
Mehr zum Thema: Uranium Finance: 50 Millionen Dollar gestohlen – ein weiterer BSC Rug Pull?
„Geben Sie das Geld zurück und wir werden Sie entschädigen“
Auf Telegram teilte das THORChain-Team der Community mit, dass das Projekt genügend Mittel in seiner Kriegskasse habe, um die zu entschädigen, die Geld verloren hatten. Allerdings forderte es den Angreifer auf, das gestohlene Geld zurückzugeben – als Belohnung würde er im Rahmen des Bug-Bounty-Programms ausbezahlt werden.
„Obwohl wir die Mittel haben, um den gestohlenen Betrag zu decken, bitten wir den Angreifer, sich mit dem Team in Verbindung zu setzen, um die Rückgabe der Mittel und eine der Entdeckung angemessene Belohnung zu besprechen.“
Ein unerwarteter Effekt des Exploits besteht darin, dass Knoten und Liquidität-Provider im Netzwerk Millionen daran verdienten: Das THORChain-Team enthüllte:
„Der Angreifer zahlte enorme Slip-Gebühren, ca. 1,4 Millionen Dollar wurde von Nodes eingenommen und weitere 1,4 Millionen von ERC20 LPs. Nur ETH LPs sind betroffen, und die werden voll entschädigt. Also werden Nodes, LPs und Arbers von dem Exploit erheblich profitieren.“
Das RUNE-Token von THORChain hat nach dem Exploit jedoch einen Verlust erlitten.
In den letzten 24 Stunden ging es bis Redaktionsschluss von 5,83 Dollar um 18% abwärts auf 4,70. Das Token hat jetzt eine Marktkapitalisierung von 1,09 Milliarden dollar und liegt damit auf Platz 65 der Rangliste.
RUNE down 14% after @THORChain suffered a ~4,000 ETH attack ($7.8 million.) The network’s reserve ($109 million) is making users whole.
Obviously better if it never happens, but in the long run network is now more secure and the transparency remains unparalleled.
— Zack Guzmán (@zGuz) July 16, 2021
THORChain startete sein Chaosnet im April und wirbt damit, die erste Plattform zu sein, die es ermöglicht, native Krypto-Assets auf einer DEX über einzigartige Blockchains hinweg zu handeln, ohne Brückentechnologie oder wrapped Token. Es erleichtert Cross-Chain Swaps über die Bitcoin-, Ethereum-, Bitcoin-Cash-, Binance Smart- und Litecoin-Blockchains.