- Angreifer konnten insgesamt mehr als 600.000 USD von Synthethix, einer Ethereum-basierten-Plattform, stehlen.
- Der zweite Angriff nutze eine Sicherheitslücke durch eine Modifikation eines Orakels der Synthetix-Plattform.
Das Unternehmen bZx hat eine harte Woche hinter sich. Nachdem das Unternehmen am 14. Februar einen ersten Angriff auf seine auf Ethereum basierende Handels- und Anleiheplattform Fulcrum gemeldet hatte, bestätigte es am Montag, den 17. Februar, einen zweiten Angriff. Der zweite Angriff zielte auf die Synthetix-Plattform ab.
Entgegen der Spekulation behauptete bZx, dass sie nach einer Untersuchung feststellen konnten, dass der zweite Angriff eine modifizierte Version des Originals war. Bei dem zweiten Angriff wurde das Orakel des Synthetix-Protokolls manipuliert. Beim ersten Angriff wurden rund 1193 ETH, umgerechnet knapp 300.000 Dollar auf Fulcrum gestohlen, beim zweiten Angriff fast 600.000 Dollar. Die Firma behauptete auf Twitter:
Glücklicherweise sind wir in der Lage, die Realisierung des Verlustes wieder zu verzögern, und wir glauben, dass sich das System davon erholen kann.
Der erste Angriff bestand aus einer Manipulation mehrerer Protokolle, die zu einem unter besicherten Kredit auf der Fulcrum-Plattform führte. bZx startete ein Update, das theoretisch ähnliche Angriffe verhindern sollte. Der zweite Angriff hingegen hatte keine Auswirkungen auf das Protokoll der Synthetix-Plattform. Der Angreifer manipulierte das Orakel, um das Token der Plattform, das sogenannte „sUSD“, zu beeinflussen. bZx beschreibt:
Die SUSD-Reserve auf Kyber enthielt einen APR und einen Uniswap-Pool. Wir glauben, dass der Angreifer in der Lage war, beide gleichzeitig zu manipulieren, indem er unsere Kontrolle beider Seiten der Ausbreitung aufrechterhielt und umging.
Ein Upgrade wird notwendig sein, damit die Plattform mit Einschränkungen betriebsfähig bleibt. Darüber hinaus wird das Unternehmen die Sicherheit seiner Plattformen verstärken. bZx wird mit Chainlink und anderen Orakel-Anbietern zusammenarbeiten, um ein neues Orakel zu schaffen und die Möglichkeit künftiger Angriffe zu verringern:
Wir treffen uns heute mit Chainlink und beschleunigen die Aufnahme des Orakels in unser Modell. Nachdem es hinzugefügt wurde, werden wir mit extrem eingeschränkter Funktionalität online gehen: Ausleihen und Schließen von Positionen/Krediten. Neue Positionen und neue Kredite werden nicht verfügbar sein.
Kritik an bZx und letztes Update zum zweiten Angriff
Neben den Angriffen wurden weitere kritische Stimmen aus der Community laut. Um die Auswirkungen der Angriffe abzuschwächen, beschloss das bZx-Team, seinen Administratorschlüssel zu verwenden und die Bedingungen des Smart-Contracts zu ändern. Die Community hat unterdessen die Dezentralisierung der bZx-Plattformen in Frage gestellt und vielen Nutzern ein steigendes Misstrauen ausgelöst. bZx hat folgende Warnung ausgesprochen:
Wir haben eine Änderung mit Hilfe unseres Administratorschlüssels durchgesetzt, um die Zeitsperre in den Verträgen aufzuheben. Wir werden sie wieder installieren, sobald wir das Gefühl haben, dass die Plattform kampferprobter ist. Dies wird uns auch dabei helfen, das System wieder in Betrieb zu nehmen, sobald die Prüfung des Orakelcodes abgeschlossen ist.
Die Investoren von Fulcrum und Synthetix haben ebenfalls ihre Besorgnis über die noch finanziellen Mittel zum Ausdruck gebracht. bZx erklärte, dass die Nutzer keine Verluste haben werden. Darüber hinaus warnte bZx außerdem, dass sie möglicherweise Ungereimtheiten in ihrem Guthabensaldo auf den Plattformen haben könnten:
Wenn Ihr Saldo im UI weniger zeigt, als Sie verliehen haben, wenn Sie versuchen, Kredite zu vergeben, dann spiegelt dies nur die aktuellen Liquiditätsbedingungen wider. Ihr ETH-Saldo hat sich nicht verändert.
Infolge der Angriffe hat der dezentrale Austausch von Totle eine Zusammenarbeit mit bZx auf Eis gelegt. Totle kündigten jedoch an, dass sie die bZx pToken in ihre Plattform integrieren werden.
Vor einer halben Stunde, zum Redaktionszeitpunkt, bestätigte bZx, dass die gestohlenen Gelder gesperrt sind. Das Unternehmen behauptete weiter, das der Angreifer die Kontrolle über die Gelder verloren hat.
https://twitter.com/bzxHQ/status/1230138112837242881
