News

Curve Finance: 100 Millionen Hack löst hitzige Debatten aus

Veröffentlicht am von Lennard Merten

Curve Finance wird zum Opfer eines Reentrancy Attacks. Bis zu 100 Millionen US-Dollar sind unmittelbar gefährdet. Da der Fehler bei der genutzten Smart-Contract-Sprache Vyper liegt, sind auch weitere Projekte einem Risiko ausgesetzt. Die Reaktion einiger Sicherheitsexperten ruft indes hitzige Debatten in der Szene hervor.

Curve Finance: 100 Millionen Hack löst hitzige Debatten aus

Ein Hack der bekannten DeFi-Plattform Curve Finance löst hitzige Debatten aus. Bis zu 100 Millionen US-Dollar Schaden seien ersten Einschätzungen zufolge entstanden. Durch eine Vielzahl von Akteuren ist die tatsächliche Lage aktuell undurchsichtig.

Schuld an der Misere ist ein Fehler in der von Curve genutzten Programmiersprache Vyper, die zur Erstellung von Smart Contracts genutzt wird und mit der Ethereum Virtual Machine (EVM) kompatibel ist.

Curve Finance ist ein DEX, der den Handel verschiedener Stablecoins miteinander ermöglicht. Es handelt sich um die grösste Plattform ihrer Art.

Am Sonntag bemerkten die Betreiber von Curve, dass es zu Unregelmässigkeiten gekommen war. So verkündeten man auf Twitter:

Eine Reihe von Stablecoin-Pools (alETH/msETH/pETH), die Vyper 0.2.15 verwenden, wurden aufgrund eines fehlerhaft funktionierenden Reentrancy Locks ausgenutzt. Wir bewerten die Situation und werden die Gemeinschaft über die weitere Entwicklung informieren.

Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Mehrere Whitehat Hacker machten sich anschliessend an die Arbeit, um die gefährdeten Gelder in Sicherheit zu bringen, bevor böswillige Akteure das Vermögen stehlen konnten. Laut einer Meldung von DefiLlama, habe man dieses Ziel nicht immer erreichen können. Schuld daran gibt man auch Sicherheitsfirmen, die Details zu den zugrundeliegenden Fehlern auf Twitter teilten, bevor man das Problem beheben konnte.

Man muss sich fragen, ob einige der gestrigen Exploits nicht verhindert worden wären, wenn nicht mehrere “Auditoren” wie Supremacy und BlockSec getwittert hätten, welche Vyper-Versionen betroffen waren, während ein Team hart daran gearbeitet hat, die Sache geheim zu halten. Beschämendes Verhalten.

Diesem Kommentar schliessen sich die Entwickler von Curve Finance offenbar an – sie teilen die Kritik auf Twitter. Währenddessen bat man Nutzer darum, auf Curve angelegte Gelder so rasch wie möglich zu entfernen, um Diebstahl vorzubeugen.

Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

In einer späteren Antwort von BlockSec weist das Unternehmen jede Schuld von sich.

Curve Token (CRV) stürzt nach Hack ab

Infolge des Hacks stürzt der Curve Token (CRV) ab. Er verliert ganze 14 Prozent seines Werts innerhalb der letzten 24 Stunden. Zu Redaktionsschluss notiert der Governance Token bei 0,62 US-Dollar. Da die Problematik mit einer Abhängigkeit von Curve zusammenhängt, könnte auch weitere Systeme von der Schwachstelle betroffen sein. Andere DeFi-Plattformen, welche die Smart Contract Sprache ebenfalls nutzen, bittet Vyper um Kontaktaufnahme.

Laut Daten des Twitter-Nutzers Tay Vano fehlen zum jetzigen Zeitpunkt rund 52 Millionen US-Dollar. Bei den entwendeten Anlagen handelt es sich um Ethereum und Ethereum-Derivate.

Rund 17 Millionen der 69 Millionen insgesamt entwendeten US-Dollar wurden von White Hat Hackern in Sicherheit gebracht. Laut DefiLlama nahm der Gesamtwert von Curve nach dem Hack extrem ab. Das zuletzt hohe TVL von 3,6 Milliarden US-Dollar sank auf nur noch 1,73 Milliarden US-Dollar.

curve finance hack ablauf
Die zeitliche Abfolge der Ereignisse und die bisher festgestellte Schadenssumme laut Tay Vano.

Was ist ein Reentrancy Attack?

Der Hack war durch einen Fehler des sogenannten Reentrancy Locks möglich. Im Deutschen bezeichnet man ein solches System als Wiedereintrittssperre. Es verhindert, dass ein Smart Contract mit einem anderen Smart Contract wiederholt eine Aktion durchführt, bevor die verwalteten Gelder aktualisiert sind.

Dadurch ist es möglich, mehr Geld aus einem Smart Contract abzuheben, als normalerweise beansprucht werden darf. Man spricht in diesem Zusammenhang von einem Reentrancy Attack.

Der “angreifende” Smart Contract schickt dabei in rascher Abfolge Anfragen nach Abhebungen. Der angegriffene Smart Contract müsste den verwalteten Betrag normalerweise nach jeder Anfrage aktualisieren, um die Gültigkeit der neuesten Forderung zu prüfen.

Durch die fehlerhafte Wiedereintrittssperre blieb die nötige Aktualisierung aus. Die Angreifer erhielten mehr Geld aus dem Liquidity Pool als ihnen rechtmässig zustand, da mehrere Anfragen eingingen, bevor der angegriffene Smart Contract den aktuellen Stand realisieren konnte.

Die besten Krypto-börsen!

Die besten Kryoto-Börsen im Vergleich:

  • Sicherheit
  • Benutzerfreundlichkeit
  • Gebühren
  • Ein- und Auszahlungsmethoden
  • Handelsangebot
Zum Krypto-Börsen Vergleich

Geprüfte Anbieter

Ausgewählt von Experten

Trans­parente Auswahl

Sichere Handelsplätze

Jetzt Beitrag teilen

Avatar-Foto
Lennard Merten

Lennard ist überzeugter Krypto-Enthusiast und Autor für verschiedene Medien mit Fokus auf die Krypto-Szene. Besonderes Augenmerk legt er auf vertrauliche Kryptowährungen.

Das könnte Dich auch noch interessieren