Gestern haben bisher unbekannte Hacker Kryptowährungen im Wert von 25 Millionen US-Dollar geraubt. Ihr Ziel war der Smart Contract von Lendf.Me, der von der chinesischen Firma dForce genutzt und entwickelt wird.
Das Unternehmen dForce ist eine Plattform für „Decentralized Finance“ (DeFi) und erlaubt seinen Nutzern vermittels Smart Contracts in entsprechende Finanzprodukte zu investieren. Zu diesem Zweck nutzt dForce die Ethereum-Blockchain und die damit verbundenen Standards für Token und Smart Contracts.
Als unmittelbare Reaktion auf den Angriff stellte Lendf.Me den Betrieb ein und pausierte den Smart Contract, auch die Website wurde abgeschaltet.
Gibt es einen Deal mit dem Hacker?
Eine Aktion des Angreifers sorgte für viel Aufsehen. Denn er ließ dem Administrator-Account eine Nachricht zukommen und überwies rund 126.000 US-Dollar in PAX an dessen Adresse. Ob es sich dabei um einen Scherz handeln sollte oder um die Anbahnung eines Kontakts ist umstritten.
Denn Fakt ist, dass der Angreifer die 25 Millionen US-Dollar nicht einfach beiseiteschaffen kann. Seine Adressen sind bekannt, alle Börsen sind gewarnt. Aus der Pattsituation zwischen Opfer und Täter, könnte sich ein Handel entwickelt haben.
Denn dies ist nicht die einzige Transaktion zwischen den beiden. Anscheinend transferiert der Angreifer die Mittel zurück, die er nicht eintauschen kann. So zum Beispiel „Huobi BTC“ (HBTC). Dabei handelt es sich um einen Token, den man nur auf der chinesischen Börse Huobi 1:1 für Bitcoin eintauschen kann.
Audits werden dringend benötigt
Dies ist nicht der erste Vorfall seiner Art und wahrscheinlich auch nicht der letzte. Bereits im Februar wurde das Protokoll von bZx gleich zweimal zum Ziel eines erfolgreichen Angriffs. Auch hier wurde ein Exploit genutzt, um den Smart Contract auszubeuten.
Wenn eine Technologie noch sehr jung ist und in den Kinderschuhen steckt, dann hat sie zwangsläufig zum Start hin Probleme. Doch nur wenn diese erfolgreich überwunden werden können, kann das Vertrauen der Nutzer für DeFi-Produkte aufgebaut werden.
Auf Dauer wird es also nur helfen, wenn man die Smart Contracts strenger auditieren lässt und grade in Hinblick auf Sicherheitslücken stärker überprüft.
