- Angreifer nutzten Flash-Loans, um den Wert der Sicherheiten in die Höhe zu treiben und mehr Coins zu leihen.
- Die Kreditvergabe wurde danach geschlossen.
- QuickSwap führte den Angriff auf eine Schwachstelle des Curve-Orakels zurück.
Die auf der Polygon-Blockchain laufende DEX-Börse und Sparplattform QuickSwap hat den Betrieb für alle Nutzer eingeschränkt. Der Grund war ein Hacker-Angriff am Montag, bei dem Unbekannte einen Flash Loan Exploit nutzten, um mehr als 220.000 US-Dollar in verschiedenen Kryptowährungen zu entwenden.
Laut Blockchain-Daten führten Cyber-Kriminelle einen klassischen Angriff über Flash-Loans aus, bei dem der Wert der digitalen Token durch Interaktion mit der Börse manipuliert wurde. Zuerst wurden Coins über Flash-Loans geliehen, für die keine Sicherheiten erforderlich sind, um ihren Preis künstlich in die Höhe zu treiben. Anschließend nutzten die Angreifer sie als Sicherheiten bei anderen Krediten, und konnten damit einen der Liquiditätspools komplett leeren.
Es wurden die Kryptowährungen Lido (LDO), Polygon (MATIC) und Staked Polygon (stMATIC) gestohlen. Danach hat man sie über den Privacy-Mixer Tornado Cash gegen andere Token getauscht. Auf dem Twitter-Account von QuickSwap wurde folgende Nachricht veröffentlicht:
QuickSwap Lend schließt. 220.000 USD wurden in einem Flash Loan-Angriff aufgrund einer Schwachstelle mit Curve Oracle gestohlen.
Coins wurden in einer einzigen Transaktion gestohlen
Einige DeFi-Netzwerke bieten Flash-Loans (Sofortkredite) an, ohne Sicherheiten zu verlangen. Die Voraussetzung für solche Kredite ist die Rückzahlung in der gleichen Transaktion. In diesem Fall konnten die Kriminellen die Token tatsächlich in nur einer Transaktion stehlen.
Zunächst führte QuickSwap die Sicherheitslücke auf eine Schwachstelle der Plattform Market XYZ zurück. Sie behaupteten, die Plattform habe fehlerhafte Orakel von QiDao, einem Stablecoin-Emittenten, und das DeFi-Protokoll Curve verwendet. QiDao wies die Anschuldigung zurück und erklärte, der Angriff stehe nicht im Zusammenhang mit seinen Smart Contracts.
Orakel rufen Daten aus externen Quellen ab und geben Blockchain-Netzwerken Informationen. Der Oktober 2022 war einer der schlimmsten Monate in der Geschichte von Krypto, was Hacker-Angriffe angeht. Vor ein paar Wochen erleidete die Solana-basierte DeFi-Plattform Mango einen schwerwiegenden Hack. Der Angriff auf QuickSwap ist der letzte in einer zunehmenden Reihe von Exploits.
