Hacker wäscht gestohlene digitale Vermögenswerte
Ein Hacker hat begonnen, digitale Vermögenswerte zu waschen, die Teil des Diebstahls von 6,7 Millionen Dollar beim Liquiditätsanbieter TrustedVolumes waren, berichtet die Cybersicherheitsfirma PeckShield. Laut neuen Daten hat der Hacker begonnen, Hunderttausende von Dollar in Ethereum (ETH) zu bewegen.
„Der Ausnutzer von TrustedVolumes hat bisher 278.000 Dollar an gestohlenen Mitteln gewaschen: Er hat 10,2 ETH (23.600 Dollar) an TornadoCash eingezahlt und 110 ETH (250.000 Dollar) über THORChain in Bitcoin (BTC) gewaschen. Zudem versuchte er, 0,5 ETH an Railgun einzuzahlen, entschied sich jedoch später dagegen und schickte die Mittel zurück. TrustedVolumes wurde am 7. Mai um etwa 6,7 Millionen Dollar ausgenutzt.“
Das Unternehmen hat erklärt, dass es bereit ist, eine Lösung mit dem Hacker auszuhandeln. TrustedVolumes listet auch drei Wallet-Adressen auf, von denen zwei etwa 3 Millionen Dollar und eine 700.000 Dollar an den gestohlenen Krypto-Vermögenswerten halten.
„Wir wurden kürzlich ausgenutzt… Wir sind offen für konstruktive Kommunikation bezüglich einer Bug-Bounty und einer gegenseitig akzeptablen Lösung.“
Designfehler im System ausgenutzt
Die Blockchain-Sicherheitsfirma QuillAudits berichtet, dass der Hacker in der Lage war, Millionen in einer einzigen Transaktion abzuziehen, indem er einen Designfehler im maßgeschneiderten Order-Abwicklungssystem der Plattform ausnutzte.
„TrustedVolumes fungiert als 1inch Market Maker und Resolver und bietet On-Chain-Liquidität über einen maßgeschneiderten Request-for-Quote (RFQ) Proxy. In einem RFQ-Modell unterzeichnet ein Maker im Voraus Aufträge und gibt einen bestimmten Preis für ein bestimmtes Token-Paar an. Ein Taker präsentiert dieses unterzeichnete Angebot dem Abwicklungsvertrag, der die Unterschrift überprüft und den Swap atomar ausführt. Das System beruht auf drei Garantien, die zusammenarbeiten: Der Maker muss autorisiert haben, wer in seinem Namen Aufträge unterzeichnen kann, jeder unterzeichnete Auftrag muss nur einmal ausgeführt werden (Replay-Schutz), und die Token-Quelle für die Ausführung muss das authentifizierte Inventar des Makers selbst sein, nicht eine beliebige Adresse eines Dritten. In der Implementierung von TrustedVolumes sind alle drei Garantien gleichzeitig fehlgeschlagen, und der Angreifer hat sie in einer einzigen zusammengesetzten Transaktion ausgenutzt.“
