- Cyber-Kriminelle erbeuteten mehr als 13,4 Millionen US-Dollar in Krypto-Coins.
- Sie täuschten die Smart Contracts von Deus so, dass sie die Daten in den Liquiditätspools der Plattform falsch auswerteten.
- Mit Hilfe eines Flash-Kredit wurde der Preis einiger Vermögenswerte künstlich in die Höhe getrieben.
Die DeFi-Plattform Deus Finance fiel zum zweiten Mal innerhalb von zwei Monaten zum Opfer eines Angriffs. Laut den Sicherheitsforschern von PeckShield erbeuteten die Cyber-Kriminellen mehr als 13,4 Millionen US-Dollar in Krypto. Der Angriff fand über das Fantom Network statt, berichtet Coindesk.
Wie der Angriff stattfand
Die Angreifer täuschten die Smart Contracts von Deus dazu, die Daten der Liquiditätspools der Plattform falsch auszulesen. Anschließend nutzten sie einen Flash-Kredit, um den Preis einiger Coins künstlich in die Höhe zu treiben, liehen sich Geld und machten nach der Rückzahlung des Kredits einen Gewinn.
Der Flash-Kredit belief sich laut Blockchain-Daten auf ungefähr 143 Millionen US-Dollar. Während der Gewinn des Angreifers 13,4 Millionen US-Dollar betrug, sind die Gesamtverluste des Protokolls nach Angaben von PeckShield weitaus größer.
Im März wurde das Protokoll auf eine ähnliche Weise angegriffen. Damals verlor Deus 3 Millionen US-Dollar.
Das Ökosystem von Deus
Es gibt zwei Token im Ökosystem: DEUS und DEI. Der Governance-Token der Plattform ist DEUS. Durch Burning von DEUS wird DEI geprägt, ein Stablecoin mit einer 1:1-Bindung an den US-Dollar. Umgekehrt kann man DEUS prägen, indem man DEI-Coins einlöst.
Mit Hilfe des Flash-Kredit konnten die Hacker von Deus vorübergehend die Preise von DEI und USD Coin (USDC), einem anderen Stablecoin, manipulieren und ausnutzen, um sich Geld zu leihen und den Liquiditätspool zu leeren.
Flash-Kredite erklärt
Bei einem Flash-Kredit (Flesh Loan) kann man einen Kredit in beliebiger Höhe aufnehmen, ohne Sicherheiten dafür zu hinterlegen. Der Haken an der Sache ist, dass man den Kredit vor dem Ende der Transaktion zurückzahlen müssen. Macht man es nicht, macht der Smart Contracts den Kredit rückgängig, als hätte es ihn nie gegeben.
Liquiditätspools verlassen sich auf Orakel wie Chainlink, um sicherzustellen, dass die Preise der Vermögenswerte im Pool korrekt sind. Orakel stellen auch sicher, dass kein Kredit den Gesamtwert des Pools übersteigt. Im Fall von Deus bestand der Pool aus USDC und DEI.
Orakel werden benötigt, weil Blockchains die Richtigkeit von Daten nicht überprüfen, sondern nur speichern können.
Hacker liehen sich 143 Mio. USDC und tauschten 9,5 Mio. DEI
Gestern nutzten die Hacker laut PeckShield einen Flash-Kredit von über 143 Millionen USDC, um 9,5 Millionen DEI zu tauschen. Infolgedessen stieg der Preis für 1 DEI auf über 1 US-Dollar. Sie verwendeten 71.000 DEI-Coins, um mit den manipulierten Preisen über 17,2 Millionen zu leihen, zahlten den Flash-Kredit zurück und machten sich mit 13,4 Millionen US-Dollar davon.
Die DEUS-Preise stürzten daraufhin ab. Zum Zeitpunkt der Erstellung dieses Artikels lag der Preis von DEUS bei 511,34 US-Dollar, Tendenz fallend: In den letzten 24 Stunden hat der Token über 15 % an Wert verloren.