- Die auf Ethereum basierende Kreditplattform Fulcrum hat 350.000 USD in ETH verloren, weil ein Fehler in einem Smart Contract ausgenutzt wurde.
- Die Plattform wurde wegen „Wartungsarbeiten“ stillgelegt, eine Untersuchung ist im Gange, um die Einzelheiten zu klären.
Die auf Ethereum basierende Kreditplattform Fulcrum ist einem böswilligen Angriff zum Opfer gefallen. Der Angriff fand zwischen dem 14. und 15. Februar statt, als die Angreifer eine Schwachstelle im Protokoll der Plattform ausnutzten.
Der Angriff erfolgte in mehreren Phasen. Zunächst nahm der Angreifer einen Flash-Kredit in Höhe von 10.000 ETH auf. Dann benutzte er die Hälfte der ETH, um über das Compound-Protokoll einen weiteren Kredit in Wrapped Bitcoin (wBTC) zu erhalten. Die andere Hälfte der ETH gingen an Fulcrum als Sicherheit in einer wBTC-Wette. Der Angreifer wettete, dass der Preis der wBTCs fallen würde. Der Angreifer dumpte dann die wBTCs auf Uniswap und ließ damit den Preis fallen, um die Gewinne aus dem Short auf Fulcrum zu kassieren und den anfänglichen Flash-Kredit zurückzuzahlen.
Die Fulcrum-Plattform wurde während der laufenden Ermittlungen geschlossen. Fulcrum ist eine auf User Expercience (UX) fokussierte Dapp für die Kreditvergabe und den Handel, die im Juni 2019 lanciert wurde. Die Dapp-Plattform verwendet das dezentralisierte bZx-Protokoll, das den Handel und die Kreditvergabe mit Margin und Leverage ermöglicht.
bZx bietet Details post mortem
Der Angriff auf Fulcrum wurde durch mehrere Gründe erschwert. Das Unternehmen hinter der Plattform, bZx, befand sich in einem Hackathon mit der Ethereum-Community. Daher wurde die Reaktionsfähigkeit von bZx verzögert.
bZx-Mitbegründer Kyle Kistner bot am 15. Februar eine Erklärung an. Kistner behauptete, dass es einen Exploit eines Vertragsbruchs gegeben habe und ein Teil der ETH dabei verloren gegangen seien. Der Kredit-Vertrag wurde für alle Operationen pausiert. Kitstner behauptete, dass keine weiteren Mittel gefährdet seien, nannte aber keine konkrete Zahl. Es wird geschätzt, dass der Angreifer einen Gewinn von 350K USD in ETH gemacht haben könnte.
Die Firma, die hinter bZx steht, sagte, dass es aufgrund der Komplexität der Transaktion Zeit braucht, um genau zu verstehen, was passiert ist und was die Verluste sind. bZx behauptete:
Wir haben ein Vertrags-Upgrade eingeführt, von dem wir glauben, dass es unser System in Zukunft robuster gegen diese Art von Aktionen machen wird. Das Upgrade wird derzeit über unser Timelock bearbeitet. Es wird in den nächsten 12 Stunden durchgeführt. Zu diesem Zeitpunkt hoffen wir, das UI neu zu starten.
Das Unternehmen wiederholte, dass die Benutzer keine Verluste erleiden. bZx enthüllte auch, dass der Angreifer 600.000 wBTC als Sicherheit hinterlassen hat:
Wir werden dies nutzen, um Zinsen zu streuen und die Liquidität an die bestehenden iETH-Inhaber zu veräußern. Dies wird mit Hilfe unseres Admin-Schlüssels geschehen. Dies ist eine extrem schwierige Entscheidung für uns, die wir nicht auf die leichte Schulter nehmen.
Es wird geschätzt, dass Fulcrum um 22:30 Uhr MTS wieder online sein wird. Danach werden sie einen ausführlicheren Bericht über den Angriff und seine Komplexität veröffentlichen. Das Unternehmen wurde jedoch von vielen Fulcrum-Benutzern kritisiert. Einige forderten mehr Transparenz über die Fakten und andere kritisierten die Verwendung des Administrator-Schlüssels. Dieser Mechanismus gibt bZx die volle Kontrolle über den Vertrag bei Fulcrum.
Der vollständige Bericht steht für weitere Details noch aus. In der Krypto-Community wurde der Angriff dazu benutzt, die Schwachstellen des DeFi-Sektors zu veranschaulichen. MyCrypto-Gründer Taylor Monahan erklärte:
Nur weil Ihr Code funktioniert, bedeutet das nicht, dass er sicher ist.
Folge uns auf Facebook und Twitter und verpasse keine brandheißen Neuigkeiten mehr! Gefällt dir unsere Kursübersicht?
