Inverse Finance today was drained as an attacker made off with $15 million in crypto before washing it through Tornado Cash.
Inverse Finance ist das jüngste Opfer eines DeFi-Exploits, der zum Verlust von über 15 Millionen Dollar führte, wie Peckshield am Wochenende bekannt gab. Das Blockchain-Sicherheitsunternehmen veröffentlichte einen Tweet mit der einfachen Aussage „Hi, @InverseFinance, you may want to take a look“, der mit einer Transaktion auf Etherscan verlinkt war.
Waschen von Krypto durch Tornado Cash
In den vergangenen Stunden hat der Angreifer Hunderte von Ethereum-Transaktionen an Tornado Cash gesendet. Tornado Cash ist ein Standardwerkzeug unter Hackern und Exploitern, die versuchen, ihren Transaktionsverlauf zu verschleiern. Sie beschreiben ihren Dienst als ein Tool, das „die Privatsphäre von Transaktionen verbessert, indem es die On-Chain-Verbindung zwischen Quell- und Zieladressen unterbricht. Es verwendet einen intelligenten Vertrag, der ETH-Einzahlungen akzeptiert, die von einer anderen Adresse abgehoben werden können“.
Benutzer generieren einen zufälligen Schlüssel und hinterlegen ETH zusammen mit der Notiz. Der Benutzer liefert dann einen Nachweis des Schlüssels für die Note von einer anderen Wallet, um die ETH abzuheben, wodurch die Transaktionskette unterbrochen wird, so dass „nur der Benutzer, der die Note besitzt, Einzahlung und Abhebung verbinden kann.“
Der Exploit beinhaltet ein TWAP-Orakel, das die Manipulation des Preises eines Governance-Tokens eines DeFi-Projekts mit geringer Liquidität erfordert. TWAP steht für Time Weighted Average Price (zeitgewichteter Durchschnittspreis) und „wird durch Auslesen des kumulativen Preises eines ERC20-Token-Paares zu Beginn und am Ende des gewünschten Intervalls erstellt. Die Differenz dieses kumulativen Preises kann dann durch die Länge des Intervalls geteilt werden, um einen TWAP für diesen Zeitraum zu erstellen.“ Eine detaillierte Erklärung des Exploits ist in einem Thread verfügbar, der von Chainlink-Community-Botschafter ChainLinkGod erstellt wurde.
Ein weiterer Tag, eine weitere TWAP-Orakel-Manipulation
Anmerkungen:
1. TWAP-Zeitprobe war zu kurz
2. DEX-Liquidität deutlich dünner als CEX-Liquidität
3. On-Chain-Arb-Möglichkeiten durch Angreifer beseitigt
4. CEX-DEX Arb fand nicht statt
5. Marktweiter Preis nicht so betroffen wie DEX-Preis https://t.co/qSgpzAKGxS– ChainLinkGod.eth ⬡ (@ChainLinkGod) April 2, 2022
Die Antwort der Inverse Finance
Inverse Finance hat sich heute Abend auf Twitter Spaces zu den Ereignissen des Exploits geäußert. Darin erklären sie, wie alle Entscheidungen durch die On-Chain-Governance der DAO gehen. Es stellt sich also die Frage, ob dies eine schnelle Entscheidungsfindung in Krisen wie dieser ermöglicht. Das Team wirkte während des Twitter-Space extrem ruhig und gelassen und beschrieb die Orakelmanipulation sehr sachlich. Sie geben der „Arbitrage-Ineffizienz“ die Schuld, da der Angreifer 500.000 Dollar an Sicherheiten verwendet hat, um 15 Millionen Dollar in wenigen Minuten zu stehlen.
Die DAO hat nun die Guardian-Regel auf Anchor aktiviert, um zukünftige Anleihen durch das während des Exploits verwendete Protokoll zu verhindern. Dies soll „zukünftige Angriffe der gleichen Art abschwächen“. Sie erklären dann, wie ihr „Peg-Schutz“ es ihnen ermöglicht, Markt-Pegs und Anreize schnell wiederherzustellen, die sie in der Zeit nach dem Exploit verwendet haben. Der Twitter Space dauert weitere 30 Minuten, in denen weitere Funktionen von Inverse Finance erläutert werden, um das Vertrauen in das Projekt wiederherzustellen:
Exploits sind keine Hacks.
Wichtig ist, dass es sich bei der für diese Aktion verantwortlichen Person nicht um einen Hacker handelt, wie manche berichten. In vielen Artikeln wird derzeit die Frage gestellt: „Wenn DeFi so toll ist, warum wird es dann immer wieder gehackt?“ Die Antwort ist, dass die meisten Exploits keine Hacks sind. Bei diesem jüngsten Vorfall wurden weder Code noch Sicherheitsberechtigungen geknackt. Stattdessen nutzte eine Person ein Versäumnis der Entwickler aus.
DeFi besteht aus vielen beweglichen Teilen, die weniger als fünf Jahre alt sind. Die Begeisterung für solche Projekte ist so groß, dass Investoren bereit sind, Gelder in unbewiesene Projekte zu investieren, in der Hoffnung, überdurchschnittliche Gewinne zu erzielen.
Der Governance-Token von Inverse Finance, INV, hat normalerweise ein durchschnittliches Tagesvolumen von etwa 900.000 $ bei einer Marktkapitalisierung von 31 Millionen $. Das Volumen ist heute aufgrund des Exploits um 5000 % gestiegen, und der TVL des Projekts wird derzeit mit rund 27 Mio. $ angegeben. Diese Zahlen erscheinen niedrig für die Welt der Kryptowährungen, aber in Wirklichkeit sind es Beträge, die für die meisten Menschen auf der Welt lebensverändernd wären. Für die Ausführung des Exploits waren 500.000 US-Dollar erforderlich, was für den „Angreifer“ eine Steigerung von 2.900 % bedeutete.
Indem das Geld durch Tornado Cash gewaschen wird, wird das Argument zugunsten von DeFi, dass alle Transaktionen nachvollziehbar sind, viel schwächer. Die einzige Möglichkeit, die ich sehe, ist, dem Geld zu folgen. Der Ausbeuter hat ETH in den Stückelungen 100, 10 und 1 verschickt. In diesem Fall müsste man also jede Abhebung dieser Beträge von Tornado Cash in absehbarer Zeit nachverfolgen. Eine Aufgabe, die nicht machbar ist. Selbst wenn dies möglich wäre, haben sie nichts Illegales getan. Gegen die Nutzungsbedingungen? Höchstwahrscheinlich. Ethisch fragwürdig? Sicherlich, aber wie wir wissen, ist die DeFi-Regulierung ein sich entwickelnder Bereich, und dieser Vorfall wurde von jemandem verursacht, der völlig legale Geschäfte auf einer öffentlichen Blockchain tätigte.
DeFi befindet sich in der Entwicklung. Es unterstreicht den wachsenden Bedarf an besseren Praktiken und verstärkten Tests in der Web3-Entwicklung. Wir hoffen, dass das Vertrauen der Öffentlichkeit nicht durch die fast täglichen Berichte über DeFi-Exploits ruiniert wird.
