Sicherheit

Wenn der Angreifer zweimal klingelt: bZx erlebt zweiten Exploit innerhalb von vier Tagen

Kucoin Hack
Bildquelle: Pete Linforth, pixabay.com

Lesedauer für den Artikel: 2 Minuten

Nachdem bZx bereits am 15. Februar einen schweren Exploit verkraften musste, schlug nun gestern ein unbekannter Angreifer erneut zu und verwendete einen ganz ähnlichen Trick. Auch dieses Mal machte sich der Angreifer ein Flash Loan zunutze.

Und das, obwohl man sich bei bZx die Mühe gemacht hatte vor dem Neustart einen Patch der Plattform durchzuführen. Dies scheint jedoch nicht vollständig geholfen zu haben. Denn ein einfacher Wechsel des verwendeten Assets hat dem Angreifer gereicht.

Während bei dem ersten Exploit der Preis von wBTC manipuliert wurde, war für den zweiten Anlauf sUSD das Ziel. Beide Token erfüllen die Funktion eines Stablecoins, indem sie jeweils konstant den Gegenwert von Bitcoin bzw. US-Dollar auf der Ethereum-Blockchain repräsentieren. 

bZx erleidet hohen Verlust

Der Angreifer nahm auch diesmal ein Flash Loan auf, kaufte eine hohe Summe sUSD und nutze einen wesentlich kleineren Teil, um damit den Preis von sUSD zu manipulieren. Erneut wurde der illiquide Markt zu einem großen Problem.

Denn dadurch stieg der Preis pro sUSD auf über 2 US-Dollar und der Angreifer konnte somit einen hohen Gewinn erwirtschaften. Doch damit nicht genug. Er lieh sich mit dem überteuerten Asset Ethereum, um das Flash Loan zurückzuzahlen.

Insgesamt wurde auf diesem Weg ein Gewinn von ca. 640.000 US-Dollar erwirtschaftet und ein Flash Loan in Höhe von 7500 Ethereum zurückgezahlt. Gleichzeitig litt aber auch der Liquiditätspool von bZx, denn gut 7000 ETH wurden geliehen, um das Flash Loan bedienen zu können. Durch die Manipulation von sUSD entstand aber eine Differenz, die der Angreifer als Gewinn mitnahm, der dem Liquiditätspool aber als Verlust entsteht. 

Grandioses Scheitern

Mittlerweile liegt der Zins auf der bZx Plattform bei über 40 Prozent. Allerdings sollte man sich darüber nicht zu früh freuen, denn der Angreifer hat mit seinem letzten Kredit ein entsprechendes Loch in den Liquiditätspool gerissen und die meisten Anleger versuchen ihre Einlagen so schnell wie möglich abzuziehen.

Damit könnte das Schicksal von bZx besiegelt sein, denn es ist nicht klar, wie der Differenzbetrag wieder erwirtschaftet werden könnte. Nun wird überlegt den zweiten Verlust auf die Allgemeinheit umzulegen oder schlicht zu warten, bis genügend Mittel vorhanden sind. 

Ähnliche Beiträge

Kucoin Hot Wallet gehackt: 150 Millionen US-Dollar Schaden

Robert Steinadler

Schlag gegen Darknet: Operation DisrupTor war (k)ein Erfolg

Robert Steinadler

Ledger schlägt leck: Kundendaten landen im Netz

Robert Steinadler