Einführung
Der Gründer von deBridge, Alex Smirnov, hat die Validatoren der Flow-Blockchain aufgefordert, die Verarbeitung von Transaktionen auszusetzen, bis ein Sanierungsplan für die betroffenen Nutzer erstellt ist. Separat bestätigte Trust Wallet, dass bösartiger Code, der in seine Chrome-Erweiterung eingebettet war, zu einem Diebstahl von etwa 7 Millionen Dollar an Vermögenswerten über mehrere Blockchains führte. Dies veranlasste den Wallet-Anbieter, einen formellen Entschädigungsprozess einzuleiten. Changpeng Zhao, Gründer von Binance, erklärte, dass alle betroffenen Verluste gedeckt werden.
Aufruf zur Aussetzung der Transaktionen
Alex Smirnov forderte öffentlich die Validatoren der Flow-Blockchain auf, die Verarbeitung von Transaktionen auszusetzen, bis ein klarer Sanierungsplan für die von dem umstrittenen Rollback-Vorschlag betroffenen Nutzer festgelegt ist. Der Aufruf erfolgte nach einem Exploit in Höhe von 3,9 Millionen Dollar, der am 27. Dezember stattfand, als ein Angreifer eine Schwachstelle in der Ausführungsschicht von Flow ausnutzte und Gelder über mehrere Cross-Chain-Brücken vom Netzwerk abzweigte. Der Rollback-Plan wurde als Notfallmaßnahme als Reaktion auf den Exploit eingeführt, löste jedoch weit verbreitete Bedenken im Flow-Ökosystem aus.
„Der Rollback hat Verwirrung über die Benutzerbilanzen geschaffen, insbesondere für diejenigen, die während des betroffenen Zeitraums Vermögenswerte aus Flow transferiert hatten.“
Smirnov warnte, dass der Rollback Verwirrung über die Benutzerbilanzen geschaffen habe, insbesondere für diejenigen, die während des betroffenen Zeitraums Vermögenswerte aus Flow transferiert hatten und nun mit der Möglichkeit konfrontiert sind, doppelte oder nicht übereinstimmende Bilanzen zu haben.
Marktreaktion und Kontroversen
Die Marktreaktion war heftig: Der FLOW-Token fiel seit dem Exploit um etwa 42 %, laut Daten von CoinCodex. Die Kontroversen wurden durch gemischte Botschaften von Akteuren im Ökosystem weiter kompliziert. Im Oktober erklärte Dapper Labs – der Schöpfer von Flow –, dass ein überarbeiteter Wiederherstellungsplan die Notwendigkeit eines Rollbacks vollständig beseitigen würde, während legitime Benutzeraktivitäten erhalten blieben und die Netzwerkoperationen wiederhergestellt würden. Kritiker argumentieren jedoch, dass der Vertrauensschaden bereits angerichtet sei.
„Die Entscheidung zum Rollback war übereilt und die Partner im Ökosystem wurden nicht ordnungsgemäß informiert.“
Smirnov beschrieb die Entscheidung zum Rollback als übereilt und warnte, dass Rollbacks kaskadierende Probleme für Brücken, Verwahrer, Börsen und Nutzer, die in gutem Glauben gehandelt haben, verursachen können. Gabriel Shapiro, General Counsel bei Delphi Labs, kritisierte den Ansatz von Flow und schlug vor, dass er effektiv ungesicherte Vermögenswerte schafft und die Last der Minderung auf Brücken und Emittenten verlagert.
Trust Wallet und Sicherheitsvorfall
Ein weiteres kryptowährungsbezogenes Unternehmen versucht sich nach einem kürzlichen Exploit zu erholen. Trust Wallet kündigte die Einleitung eines formellen Entschädigungsprozesses für Nutzer an, die von einem kürzlichen Sicherheitsvorfall betroffen waren, der seine Chrome-Browsererweiterung betraf, nachdem bösartiger Code in Version 2.68 der Software entdeckt wurde. Das Problem wurde zwei Tage vor der Ankündigung identifiziert, nachdem Berichte aufgetaucht waren, dass Benutzerfonds kurz nach einem Update, das am 24. Dezember veröffentlicht wurde, abgezogen wurden.
Betroffene Nutzer können nun Ansprüche über ein offizielles Support-Formular auf der Website von Trust Wallet einreichen. Der Anspruchsprozess erfordert von den Nutzern, dass sie Details wie ihre E-Mail-Adresse, Wohnsitzland, kompromittierte Wallet-Adressen, die Empfangsadressen des Angreifers und relevante Transaktions-Hashes angeben. Trust Wallet erklärte, dass es sich verpflichtet, alle von dem Vorfall betroffenen Nutzer zu entschädigen.
Diebstahl und Reaktionen
Laut Trust Wallet wurden etwa 7 Millionen Dollar an digitalen Vermögenswerten über mehrere Blockchains gestohlen, darunter Bitcoin, Ethereum und Solana. Die Blockchain-Sicherheitsfirma PeckShield berichtete, dass mehr als 4 Millionen Dollar der gestohlenen Gelder bereits über zentrale Börsen wie ChangeNOW, FixedFloat und KuCoin geleitet wurden. Changpeng Zhao, Gründer von Binance, der Trust Wallet 2018 erworben hat, bestätigte öffentlich, dass alle Verluste gedeckt werden.
„Die Benutzerfonds bleiben ‚SAFU‘.“
Der Vorfall wurde erstmals am Weihnachtstag von dem On-Chain-Ermittler ZachXBT öffentlich gemeldet, der warnte, dass mehrere Trust Wallet-Nutzer kurz nach dem Update der Chrome-Erweiterung von abgezogenen Bilanzen berichteten. Trust Wallet gab am 25. Dezember in Version 2.69 einen Fix heraus. CEO Eowyn Chen erklärte später, dass Nutzer, die auf die Erweiterung vor dem 26. Dezember um 11 Uhr UTC zugriffen, potenziell betroffen waren.
Die Untersuchung des Unternehmens ergab, dass ein geleakter API-Schlüssel des Chrome Web Store verwendet wurde, um die kompromittierte Erweiterung zu veröffentlichen und interne Freigabekontrollen zu umgehen. Die Sicherheitsfirma SlowMist stellte fest, dass der bösartige Code Wallet-Seed-Phrasen mithilfe einer modifizierten Open-Source-Analysebibliothek erntete. Trust Wallet bestätigte, dass mobile App-Nutzer und Nutzer anderer Browsererweiterungen nicht betroffen waren.
