Hackeraktivitäten im DeFi-Bereich
Ein Hacker, der 2022 an dem Exploit des dezentralen Finanzkreditprotokolls Voltage Finance in Höhe von 4,67 Millionen Dollar beteiligt war, hat einen Teil der gestohlenen Ether nach einer kurzen Phase der Inaktivität zu Tornado Cash transferiert. Die Blockchain-Sicherheitsfirma CertiK berichtete am 6. Mai auf X, dass 100 Ether, die derzeit einen Wert von etwa 182.783 Dollar haben, von einer Adresse verschoben wurden, die ursprünglich beim Exploit verwendet wurde, und die auf den Hacker zurückverfolgt werden kann.
Details zum Exploit
Im März 2022 nutzte der Angreifer eine „eingebaute Callback-Funktion“ im ERC677-Token-Standard, was ihm ermöglichte, den Kreditpool der Plattform durch einen Reentrancy-Angriff zu leeren, so CertiK. Nach dem Exploit berichtete Voltage Finance, dass der Hacker verschiedene Stablecoins und andere Kryptowährungen, darunter USDC, Binance USD (BUSD), Wrapped Bitcoin und Ethereum-Token, gestohlen hatte.
Die Adresse, mit der der Hacker die Gelder zu Tornado Cash brachte, war seit November inaktiv; die letzte Transaktion fand laut Etherscan vor 166 Tagen statt.
Nachwirkungen des Angriffs
In einem Nachbericht zu dem Exploit von 2022 stellte Voltage Finance fest, dass die Adresse des Angreifers auf Etherscan markiert wurde. Die Börsen wurden gebeten, alle verdächtigen Transaktionen zu blockieren. Außerdem wurden Versuche unternommen, den Angreifer zu kontaktieren und eine Belohnung für die Rückgabe der Gelder auszuhandeln.
Weitere Angriffe auf Voltage Finance
Die Staking-Pools von Voltage Finance wurden im März erneut angegriffen, als am 18. März die Simple Staking-Pools kompromittiert wurden, wie das Protokoll in einer Erklärung auf X mitteilte. Insgesamt wurden dabei 322.000 Dollar gestohlen. In seinem Nachbericht vom 20. März kündigte Voltage Finance an, dem Angreifer eine Belohnung von 50.000 Dollar anzubieten, um die Gelder zurückzugeben. Es wurde auch ein Entwickler identifiziert, der möglicherweise an den Simple Staking-Pools gearbeitet und damit verwoben war.
„Während wir nicht bestätigen konnten, ob er der Hacker ist, haben wir vorsorglich sofort seinen Zugang entzogen und Polizeiberichte eingereicht, um mit den Strafverfolgungsbehörden und zentralen Börsen zusammenzuarbeiten.“
Kryptoverluste im April
Insgesamt sind die Kryptoverluste im April um 1.163 % gestiegen, wobei der Löwenanteil aus einem einzigen Überfall auf die Brieftasche eines älteren US-Bürgers stammt. Ein Hacker verwendete fortschrittliche Social-Engineering-Taktiken, um 3.520 Bitcoin im Wert von 330,7 Millionen Dollar zu stehlen. Ohne diesen Angriff lagen die Kryptoverluste im April bei 34 Millionen Dollar, was einen Anstieg von 21 % im Vergleich zu März darstellt.
Der Monat sah jedoch auch Rückerstattungen von über 18 Millionen Dollar. Der Hacker, der hinter dem 7,5 Millionen Dollar schweren Exploit der dezentralen Börse KiloEx steckte, gab alle gestohlenen Gelder nur vier Tage nach dem Angriff zurück. Zudem stellte die ZKsync-Vereinigung Token im Wert von 5 Millionen Dollar wieder her, die bei einem Sicherheitsvorfall am 15. April im Zusammenhang mit ihrem Airdrop-Verteilungsvertrag gestohlen worden waren.
