Das US- Justizministerium (DOJ) hat soeben Details zum Angriff auf KyberSwap bekannt gegeben – eine dezentrale Finanzplattform (DeFi) des von Vietnamesen entwickelten Kyber Network-Projekts. Demnach wird der kanadische Staatsbürger Andean Medjedovic (22) beschuldigt, hinter dem Hackerangriff Ende 2023 zu stecken, der KyberSwap-Nutzern einen Verlust von 48,4 Millionen US-Dollar bescherte.
Wie Hacker angreifen
KyberSwap ermöglicht Nutzern den Austausch von Kryptowährungen und gleichzeitiges Crowdfunding in „Liquiditätspools“. Dadurch verfügt das System über einen Pool an Token, die jederzeit zum Tausch verfügbar sind. Der Hacker nutzte eine Schwachstelle im Smart Contract von KyberSwap aus, um sich mithilfe von „Flash Loans“ vorübergehend große Geldbeträge zu leihen und diese in Liquiditätspools zu investieren.
Anschließend manipulierte er die Preise, indem er sorgfältig kalkulierte Handelsgeschäfte tätigte, um das System auszutricksen. Dadurch kam es zu Fehlberechnungen der Software und der Hacker konnte mehr Vermögenswerte abheben, als er eingezahlt hatte.
KyberSwap-Exploit kostet Benutzer 48,4 Millionen US-Dollar
In der Anklageschrift beschreibt das Justizministerium dies als eine Schwachstelle im Zusammenhang mit einem „Rundungsfehler“ in den Berechnungsschritten. So war beispielsweise die Anzahl der ausgetauschten Token auf 1.056.056.735.638.220.800.000 begrenzt, der Hacker platzierte jedoch eine Bestellung über 1.056.056.735.638.220.799.999 (nur eine Einheit weniger) – immer noch innerhalb des Limits. Die Rundungsregel führte jedoch dazu, dass einige Funktionen nicht wie vorgesehen funktionierten, wodurch eine Schwachstelle entstand, die ausgenutzt werden konnte.
Medjedovic führte 77 solcher Transaktionen durch und entwendete dabei insgesamt 48,4 Millionen Dollar aus den Wallets der Nutzer. Anschließend nutzte er verschiedene Tricks, um seine Spuren zu verwischen, beispielsweise indem er die Gelder an verschiedene Börsen überwies oder sie in einen Token-Mixer einfügte.
Neben dem Hausfriedensbruch wird Medjedovic auch Erpressung vorgeworfen. Er hatte Nachrichten verschickt, in denen er Kyber Network aufforderte, ihm im Austausch für die Rückgabe gestohlener Vermögenswerte einen Teil der Kontrolle über das Unternehmen zu überlassen. Der 22-jährige Hacker glaubte, die Ermittler erfolgreich getäuscht zu haben. Als er jedoch Probleme mit seinem Wiper-Tool hatte, wandte sich Medjedovic an einen „Softwareentwickler“, ohne zu wissen, dass es sich um einen verdeckten Ermittler handelte.
KyberSwap-Antwort
Laut Tran Huy Vu, CEO von Kyber Network, hat das Unternehmen zwar noch nicht alle verlorenen Vermögenswerte wiederhergestellt, diese aber proaktiv an die Nutzer zurückgegeben. Der schwerwiegende Vorfall zwang Kyber Network Ende 2023 zu einer Umstrukturierung, bei der 50 % der Mitarbeiter entlassen und die KyberSwap Elastic-Funktion vorübergehend eingestellt wurden.
Das Justizministerium sprach von einem ausgeklügelten Diebstahl, der eine Schwachstelle in einem DeFi-Smart Contract ausnutzte. Beobachter sagten, der Vorfall sei eine Mahnung für alle DeFi-Projekte, ständig auf Schwachstellen zu prüfen, bei komplexen Handelsaufträgen vorsichtig zu sein und einen Risikoreaktionsplan zu haben. Mit der zunehmenden Popularität von DeFi zeigt Medjedovics Angriff, dass Hacker selbst kleinste Fehler in der Rechenlogik finden und ausnutzen können.
„Trotz der Komplexität von DeFi konnten wir den Verantwortlichen für den massiven Diebstahl ausfindig machen und verhaften“, bekräftigte ein Vertreter des US-Justizministeriums. Der Fall gilt als Beweis dafür, dass die Behörden trotz der vielen Schritte, die der Angreifer unternimmt, um sich zu verbergen, immer noch eine Möglichkeit haben, den Täter aufzuspüren und ihn vor Gericht zur Rechenschaft zu ziehen.
[Anzeige_2]
Quelle: https://thanhnien.vn/tin-tac-canada-chiem-doat-hon-48-trieu-usd-tu-du-an-kyberswap-cua-nguoi-viet-185250205084915802.htm
Kommentar (0)