Dritter Hack in weniger als zwei Wochen für Cross-Chain-Bridges. Diesmal war es Meter Passport, die Bridge von Meter, die aufgrund einer Schwachstelle in ihrem Code um 4,3 Millionen Dollar ausgenutzt wurde. Dies verursachte auch eine Wertminderung der BNB auf Moonriver, was es Nutzern ermöglichte, Kredite zu geringeren Kosten zu vergeben.
Meter’s Bridge gehackt
Meter Passport, die Bridge der Sidechain Meter, wurde am 5. Februar gegen 15 Uhr im Wert von 4,3 Millionen US-Dollar gehackt. Der Exploit betrifft den Smart Contract Moonriver, der auf Kusama, dem Testnet der Polkadot-Blockchain, basiert.
Community, wir wissen die Geduld und Unterstützung aller sehr zu schätzen, während wir daran arbeiten, nach der Heldentat dieses Morgens wieder auf die Beine zu kommen und zu laufen.
Wir haben alles im folgenden Thread detailliert beschrieben:
– ⚡️Meter.io⚡️ (@Meter_IO) Februar 5, 2022
Laut dem technischen Bericht über den Angriff von Certik, einer auf Blockchain-Sicherheit spezialisierten Firma, hätte der Hacker über 4,2 Millionen US-Dollar in Form von ETH und 83.000 US-Dollar in Form von wBTC (wrapped bitcoin) erbeutet.
Es soll ihm gelungen sein, einen schädlichen Code in eine Einzahlungsfunktion der Bridge einzuschleusen, der die Bridge glauben ließ, sie habe wETH (wrapped Ether) eingezahlt, um dann damit BNB- und wETH-Token zu prägen (mint), um sie auf SushiSwap weiterzuverkaufen.
Um seine Spuren zu verwischen, schickte der Hacker seine Beute anschließend über Tornado Cash, ein Protokoll, bei dem Token gemischt werden, um sie unauffindbar zu machen.
Eine Abwertung der BNBs auf Moonriver
Das Problem endet aber leider nicht mit dem Hack an sich. Da der Hacker seine gestohlenen BNBs auf der Börse SushiSwap weiterverkaufte, führte dies zu einem Absturz des Token-Preises um 77% auf Moonriver.
Dies nutzten einige Nutzer aus, um BNBs über das Hundred-Finance-Protokoll billiger zu kaufen und sie dann als Sicherheit für die Aufnahme von MIMs, FRAXs oder ETHs zu verwenden.
Das Team von Hundred Finance hat öffentlich gefordert, dass die Personen, die diese Lücke ausgenutzt haben, ihre Gelder zurückgeben sollen, um nicht die gesamte Gemeinschaft zu bestrafen.
2/4. Accounts konnten BNB.bsc zu einem reduzierten Preis erwerben und diese Token als Sicherheit zum globalen Chainlink-Preis verwenden, um sich auf unserer Plattform uncompromised assets zu leihen. Von diesen sind MIM und FRAX derzeit betroffen.
– Hundred Finance (@HundredFinance) February 6, 2022
Bis zum Zeitpunkt der Erstellung dieser Zeilen wurden die ETH-Kredite vollständig zurückgegeben. Die Plattform beobachtet jedoch immer noch einen Gewinnausfall von 3,3 Millionen US-Dollar.
Meter gab jedoch zu, für die Situation verantwortlich zu sein und verpflichtet sich, Hundred Finance zurückzuzahlen :
“ Meter hat natürlich die Verantwortung für diesen Hack übernommen und beabsichtigt, sein natives Token [MTRG] für die Rückerstattung zu verwenden, wo immer dies möglich ist. Wir sammeln derzeit die verschiedenen Adressen und den entsprechenden Betrag für jede von ihnen“. – Vfat, der Gründer von Hundred Finance, in einer Mitteilung gegenüber Rekt News.
Cross-Chain-Brücken in Schwierigkeiten
Trotz dieses schweren Schlags konnte Meter schnell reagieren und gab bekannt, dass sie die durch den Hack entstandene Lücke durch die Wiedereinführung von BNB- und wETH-Tokens auf ihrer eigenen Plattform geschlossen haben, um das ursprüngliche Verhältnis von 1:1 wiederherzustellen.
Dies war jedoch der dritte Bridge-Hack innerhalb von zwei Wochen, und vor allem handelte es sich um drei ganz ähnliche Verfahren. Am 28. Januar berichteten wir, dass die Bridge von Qubit Finance um 80 Millionen US-Dollar gehackt worden war.
Weniger als eine Woche später war das Wormhole-Protokoll an der Reihe, dem 320 Millionen Dollar in Form von wETH entwendet wurden, was einen der größten Angriffe darstellte, die jemals in der Welt der dezentralisierten Finanzwelt beobachtet wurden.
Das Jahr 2022 beginnt für die Cross-Chain-Bridges also ziemlich schmerzhaft, und sie werden sich wahrscheinlich noch mehr anstrengen müssen, um das Vertrauen der Nutzer (wieder) zu gewinnen.