CryptoMonday
Home News bZx Hack: 8 Millionen Dollar in ETH, LINK und Stablecoins erbeutet

bZx Hack: 8 Millionen Dollar in ETH, LINK und Stablecoins erbeutet

Marius Kramer
Marius Kramer
Marius Kramer
Autor*in:
Marius Kramer
Writer
16. September 2020

Decentralized Finance ist unabstreitbar einer der großen Hypes in diesem Jahr. Wer auf die nackten Zahlen zum Thema DeFi blickt, der sieht vor allem starke Zuwächse bei der Marktkapitalisierung vieler DeFi-Tokens. Parallel dazu sehen wir einen Anstieg der Gelder, die in DeFi-Protokollen gelocked sind. Diese beiden Komponenten sind wohl die optimalen Voraussetzungen für Hacker, die auf der Suche nach Sicherheitslücken sind.

Und so kam es zum bZx Hack, bei dem Angreifer eine Lücke im Protokoll ausnutzten, um 8 Millionen Dollar in ETH, LINK und diversen Stablecoins zu erbeuten. Was ist passiert?

bZx Hack: Die Chronologie im Blick

Die Story beginnt am Morgen des 13. Septembers. User des Protokolls sowie das Team hinter bZx selbst nutzten Twitter, um DeFi-Benutzer zu warnen, dass etwas mit dem Protokoll nicht in Ordnung sei. Dabei hieß es zu Beginn, dass die Unstimmigkeiten des auf Ethereum basierenden Projekts zu keinerlei Verlusten geführt hätten. Anders formuliert: Es seien keine Gelder der Anwender verloren gegangen.

Da die Plattform jedoch bereits zum Beginn des Jahres mit einem Hackerangriff konfrontiert war, zeigten sich einige User mehr als skeptisch. Spätestens als Meldungen kursierten, dass Coins wie ETH, LINK oder auch Stablecoins im Wert von Millionen US-Dollar an einen externen Account flossen, wurde einigen Usern bewusst, dass die ursprüngliche Aussage des Projekt-Teams nicht der Wahrheit entspricht.

Kyle Kistner, einer der Co-Founder und Entwickler, melde sich einige Stunden mit folgenden Worten:

Jeder ERC20-Token hat eine TransferFrom()-Funktion. Diese ist für den Transfer von Token verantwortlich. Dabei gelang es den Hackern, diese Funktion zu nutzen, um einen iToken zu erstellen und diesen auf sich selbst zu übertragen. Sie konnten somit ihren Kontostand künstlich erhöhen.

Beim bZx Hack verwendete der Angreifer diesen „Trick“, um über mehrere Stunden hinweg (!) Tausende von LINK, ETH und Stablecoins zu erstellen. Das Ergebnis: Der Hacker bereicherte sich um rund 8 Millionen Dollar.

Fehler im Protokoll war bereits bekannt

Marc Thalen mag einigen Lesern bekannt sein. Er arbeitet als Software-Ingenieur und Entwickler bei Bitcoin.com. Thalen darf man insofern durchaus ein mächtiges Wissen im Bereich Entwicklung von Kryptowährungen attestieren.

Dabei zeigte Thalen nun in einer vierteiligen Tweet-Reihe, dass er das Team auf die Fehler im Protokoll aufmerksam machte. „Tragischerweise“ war zu dieser Zeit keiner wach. Thalen selbst nutzte den Fehler aus, um einen Proof zu liefern, dass das Protokoll anfällig für Angriffe sein.