Ein Softwarefehler lässt Hacker 31 Mio. US-Dollar von einem Kryptodienst herunternehmen
[ad_1]
Blockchain-Startup MonoX Finance teilte am Mittwoch mit, dass ein Hacker 31 Mio. US-Dollar gestohlen habe, während er vereinigen Fehler in welcher Software ausnutzte, mit welcher welcher Tätigkeit Smart Contracts erstellt.
Dies Unternehmen verwendet ein dezentralisiertes Finanzprotokoll namens MonoX, mit dem Benutzer digitale Währungstoken ohne manche welcher Anforderungen herkömmlicher Börsen handeln können. „Projektbesitzer können ihre Token ohne Kapitalanforderungen listen und sich darauf zusammenfassen, Mittel pro den Oberbau des Projekts zu verwenden, anstatt Liquidität bereitzustellen“, schrieben MonoX-Unternehmensvertreter im November. „Es funktioniert, während hinterlegte Token mit vCASH zu einem virtuellen Paar gruppiert werden, um ein einziges Token-Schwimmbecken-Entwurf anzubieten.“
Ein in die Software des Unternehmens eingebauter Buchhaltungsfehler ließ vereinigen Angreifer den Preis des MONO-Tokens aufblähen und dann damit jeder anderen hinterlegten Token auszahlen, enthüllte MonoX Finance in einem Gebühr. Jener Zuführung belief sich aufwärts Token im Zahl von 31 Mio. US-Dollar aufwärts den Ethereum- oder Vieleck-Blockchains, die jedwederlei vom MonoX-Protokoll unterstützt werden.
Insbesondere verwendet welcher Hack identisch Token wie tokenIn und tokenOut, für denen es sich um Methoden zum Kommutieren des Werts eines Tokens gegen vereinigen anderen handelt. MonoX aktualisiert die Preise nachdem jedem Swap, während neue Preise pro jedwederlei Token berechnet werden. Wenn welcher Swap separat ist, sinkt welcher Preis von tokenIn – d. h. welcher vom Benutzer gesendete Token – und welcher Preis von tokenOut – oder welcher vom Benutzer empfangene Token – steigt.
Durch die Verwendung desselben Tokens sowohl pro tokenIn denn wiewohl pro tokenOut hat welcher Hacker den Preis des MONO-Tokens stark aufgebläht, da die Aktualisierung des tokenOut die Preisaktualisierung des tokenIn überschrieben hat. Jener Hacker tauschte den Token dann gegen Token im Zahl von 31 Mio. US-Dollar aufwärts den Ethereum- und Vieleck-Blockchains ein.
Es gibt keinen praktischen Grund, vereinigen Token gegen denselben Token einzutauschen, und von dort hätte die Software, die Trades durchführt, solche Transaktionen niemals zulassen die Erlaubnis haben. Leider war dies welcher Kasus, obwohl MonoX in diesem Jahr drei Sicherheitsaudits erhielt.
Die Fallstricke von Smart Contracts
„Welche Modus von Angriffen sind für Smart Contracts weit verbreitet, weil viele Entwickler sich nicht die Sklaverei zeugen, Sicherheitseigenschaften pro ihren Quelltext zu definieren“, sagt Dan Guido, ein Sachkundiger pro die Wahrung von Smart Contracts wie dem hier gehackten. „Sie hatten Audits, immerhin wenn die Audits nur zeigen, dass eine kluge Person den Quelltext pro vereinigen bestimmten Zeitraum betrachtet hat, sind die Ergebnisse von begrenztem Zahl. Smart Contracts benötigen überprüfbare Beweise zu diesem Zweck, dass sie dasjenige tun, welches Sie beabsichtigen, und nur dasjenige, welches Sie beabsichtigen. Dies bedeutet definierte Sicherheitseigenschaften und Techniken zu deren Priorisierung.“
Jener Vorstandsvorsitzender welcher Sicherheitsberatung Trail of Bits, Guido, fuhr fort:
Die meisten Software erfordert eine Schwachstellenminderung. Wir suchen proaktiv nachdem Schwachstellen, wiedererkennen an, dass sie für ihrer Verwendung zögernd sein könnten, und konstruieren Systeme, die wiedererkennen, zu welchem Zeitpunkt sie ausgenutzt werden. Smart Contracts erfordern die Beseitigung von Schwachstellen. Software-Verifizierungstechniken werden x-fach verwendet, um nachweisbare Sicherheiten zu diesem Zweck zu offenstehen, dass die Verträge wie beabsichtigt klappen. Die meisten Sicherheitsprobleme für Smart Contracts treten aufwärts, wenn Entwickler den erstgenannten Sicherheitsansatz anstelle des letzteren übernehmen. Es gibt viele intelligente Verträge und Protokolle, die weitläufig, komplex und sehr wertvoll sind und durch die Vorfälle vermieden wurden, sowie viele, die sofort nachdem ihrer Lehrbuch ausgenutzt wurden.
Blockchain-Forscher Igor Igamberdiev ging zu Twitter um die Zusammensetzung welcher verbrauchten Token aufzuschlüsseln. Zu den Token gehörten 18,2 Mio. US-Dollar in Wrapped Ethereum, 10,5 US-Dollar in MATIC-Token und WBTC im Zahl von 2 Mio. US-Dollar. Die Opfer umfasste wiewohl kleinere Mengen an Token pro Wrapped Bitcoin, Chainlink, Unit Protocol, Aavegotchi und Immutable X.
Nur welcher neueste DeFi-Hack
MonoX ist nicht dasjenige einzige dezentralisierte Finanzprotokoll, dasjenige Todesopfer eines millionenschweren Hacks wurde. Im zehnter Monat des Jahres gab Indexed Finance namhaft, dass es durch vereinigen Hack, welcher die Reformation von Indexpools ausnutzte, etwa 16 Mio. US-Dollar verloren hat. Herkunft dieses Monats sagte dasjenige Blockchain-Analyseunternehmen Elliptic, dass sogenannte DeFi-Protokolle durch Raub und Betrug 12 Milliarden US-Dollar verloren nach sich ziehen. Die Verluste in den ersten etwa 10 Monaten dieses Jahres beliefen sich aufwärts 10,5 Milliarden US-Dollar, oppositionell 1,5 Milliarden US-Dollar im Jahr 2020.
„Die relative Unreife welcher zugrunde liegenden Technologie hat es Hackern ermöglicht, die Gelder welcher Benutzer zu stehlen, während die großen Liquiditätspools es Kriminellen ermöglicht nach sich ziehen, Erträge aus Straftaten wie Ransomware und Betrug zu waschen“, heißt es in dem Elliptic-Informationsaustausch. „Dies ist Teil eines breiteren Trends für welcher Nutzung dezentraler Technologien pro illegale Zwecke, den Elliptic denn DeCrime bezeichnet.“
[ad_2]