Das Projekt ist das neueste DeFi-Protokoll, das von einem Monsterangriff betroffen ist
In Kürze
- DeFi-Protokoll Indexed Finance wurde am Donnerstag um 16 Millionen Dollar gehackt.
- Die an dem Projekt arbeitenden Personen sagen, sie hätten herausgefunden, wer der Hacker ist.
- Es ist eines von vielen DeFi-Projekten, die dieses Jahr gehackt wurden.
Am Donnerstag erbeutete ein Hacker 16 Millionen Dollar aus dem dezentralen Finanzprojekt Indexed Finance, aber jetzt sagt das Team des Protokolls, dass es weiß, wer der Angreifer ist.
Indexed Finance ist ein DeFi-Projekt, das auf Ethereum basiert. Es produziert Token, die Marktindizes abbilden. Ein Hacker erbeutete die Vermögenswerte, die den Wert der Index-Token untermauern, indem er eine Schwachstelle in den Smart Contracts des Protokolls fand.
Der Angriff war typisch für DeFi-Exploits: Der Hacker nutzte den Flash Loan-Mechanismus, indem er das Protokoll mit neuen Vermögenswerten überlastete. Dadurch sank der Preis der indizierten Token, was es dem Angreifer ermöglichte, neue Token zu prägen und sie in bar auszuzahlen.
Nun haben zwei der sechs Vermögenswerte des Protokolls, DEFI5 und CC10 (beides Index-Token, die große DeFi-Projekte abbilden), den größten Teil ihres Wertes verloren.
DEF15 fiel laut CoinGecko-Daten eine Stunde nach dem Hack um 85 % von 88,73 $ auf 3,67 $. CC10 verlor 98 % seines Wertes; vor dem Hack wurde er für 62,50 $ gehandelt, danach fiel er auf 0,74 $.
Drei andere Index-Token, DEGEN, NFTP und ORCL5, sind sicher, so Laurence Day, ein 32-jähriger Mitwirkender und Mitglied der Indexed DAO gegenüber Decrypt. Der sechste Vermögenswert, FFF, ein Meta-Index, der DEFI5 und CC10 enthält, wurde schwer beschädigt und muss in seiner derzeitigen Form beendet werden. Er fügte hinzu, dass ein Entschädigungsplan erstellt werden wird.
Die Mitglieder des Projekts identifizierten den Hacker am Freitag, weil er seine Spuren außerhalb der Kette nicht gut genug verwischt hatte, so Day. Sie stellten ihm daraufhin ein Ultimatum: Er solle das Geld bis Samstag um Mitternacht zurückgeben, andernfalls würden sie die Strafverfolgungsbehörden einschalten.
Das 10%-Angebot ist abgelaufen. Der Angreifer hat bis zum nächsten Tag Zeit, 100 % der gestohlenen Gelder zurückzugeben, sonst werden seine Daten veröffentlicht und die Strafverfolgungsbehörden benachrichtigt.https://t.co/am2XnwL5fD
– Indexed Finance (@ndxfi) Oktober 16, 2021
Aber die Mitglieder der DAO haben die Bedingungen inzwischen ausgesetzt, wie sie via Twitter mitteilten, weil sie herausgefunden haben, dass der Hacker „deutlich jünger ist, als wir dachten“.
Day sagte Decrypt, dass sich das Projekt in einer „verzweifelt angespannten Situation“ befinde und immer noch überlege, was als nächstes zu tun sei. Er wollte Decrypt nicht sagen, ob sie mit dem Hacker verhandeln würden.
Er sagte jedoch, dass mehrere Personen im Team des Protokolls überprüft hätten, wer der Hacker sei und es nun an ihm liege, die Gelder zurückzugeben. „Dies ist eine Entscheidung, die nun in den Händen des Angreifers liegt“, schrieb er.
Das Ultimatum wurde nicht eingehalten.
In den Minuten vor Ablauf der Frist hat @ZetaZeroes Änderungen an seinen Konten vorgenommen, die uns in letzter Minute erkennen lassen, dass der Angreifer deutlich jünger ist, als wir dachten.
– Indexed Finance (@ndxfi) Oktober 17, 2021
Day fügte nicht hinzu, ob sie heute die Strafverfolgungsbehörden kontaktieren würden.
DeFi, oder dezentralisiertes Finanzwesen, ist ein Sammelbegriff für Projekte, die traditionelle Finanzinstrumente, wie Banken, automatisieren wollen. Sie zielen darauf ab, Kredite, Zinsen und Asset-Swaps ohne Banken oder andere Vermittler über Smart Contracts, also Code-Bits, die Anweisungen ausführen, anzubieten. Die meisten basieren auf Ethereum, der Blockchain, auf der die zweitgrößte Kryptowährung nach Marktkapitalisierung basiert.
Aber DeFi ist eine experimentelle Industrie, die Protokolle sind sehr neu und sie ist anfällig für Hacks. Indexed ist nicht das erste Unternehmen, das von einem solchen Exploit betroffen ist. Die Liste der DeFi-Hacks in diesem Jahr ist lang, aber allein im letzten Monat hat pNetwork 12,5 Millionen Dollar verloren, und bei einem NFT-Projekt namens Vee Finance wurden 35 Millionen Dollar erbeutet.
Und im August erbeutete ein Hacker 25 Millionen Dollar von der Kredit- und Darlehensplattform Cream Finance.
Viele Projekte konnten einen Teil der gestohlenen Gelder zurückerhalten. Aber die großen Hacks, die sich jeden Monat ereignen, erinnern daran, dass der Raum neu, experimentell und riskant ist.
Laurence fügte hinzu, dass der DeFi-Raum Auditoren braucht, um Hacks zu verhindern, und fügte hinzu, dass „der Talentpool in diesem Raum hoffnungslos ausgedünnt ist.“
