Ein Hacker nutzte einen massiven "Flash Loan", um 20 Millionen US-Dollar aus UwU Lend abzuziehen, dem Krypto-Kreditprotokoll, das von Michael Patryn, einem Internetunternehmer, der QuadrigaCX betrieb, einem kanadischen Krypto-Austausch, der 2018 wegen Betrugs zusammenbrach, gegründet wurde.
Im Zuge des Hacks hat Patryn, der besser bekannt ist unter seinem Pseudonym 0xSifu, dem Hacker einen Deal angeboten: Gib etwa 16 Millionen US-Dollar in Krypto zurück, und wir werden potenzielle Anklagen fallen lassen.
"Wir bieten eine 20% White-Hat-Prämie für alle Gelder, die abgehoben wurden", schrieb Patryn in einer Nachricht, die über Ethereum gesendet wurde. "Du wirst kein Risiko haben, dass wir dies weiterverfolgen, und kein Risiko von rechtlichen Problemen."
Diese Taktik ist im Kryptobereich gängige Praxis, da die Identifizierung von Hackern und die Rückgewinnung gestohlener Token ein zeitaufwändiges Unterfangen sind. Doch häufig werden solche Angebote von Hackern ignoriert, mit nur wenigen bemerkenswerten Ausnahmen.
UwU Lend, das im Jahr 2022 gestartet wurde, ist eine Kopie des Kreditprotokolls Aave, das am Montag das zweitgrößte Protokoll im dezentralen Finanzwesen mit mehr als 20 Milliarden US-Dollar an Einlagen von Benutzern war.
Ein wesentlicher Unterschied ermöglichte es dem Hacker, das Protokoll in einer Reihe von Transaktionen am frühen Montag zu leeren, so das Krypto-Sicherheitsunternehmen Blocksec: die Verwendung leicht manipulierbarer Preis-"Oracle", die UwU den Preis verschiedener Token liefert.
Zusammen mit einem multibillionenschweren Flash Loan - vielleicht so groß wie 4 Milliarden US-Dollar, so Matthew Jiang, Direktor für Sicherheitsdienste bei Blocksec - konnte der Hacker etwa 20 Millionen US-Dollar aus UwU abziehen.
"Der Angreifer hat eine riesige Menge an Vermögenswerten über Flash Loans geliehen", erklärte Jiang gegenüber DL News. "Er hat fast alle Vermögenswerte auf der Kette ausgeliehen, die über Flash Loans ausgeliehen werden können."
Auf X teilten die UwU-Entwickler mit, dass sie das Protokoll pausiert haben, während sie den Hack untersuchen. UwU antwortete nicht sofort auf die Anfrage von DL News am Montag.
Flash Loans ermöglichen Kreditaufnahmen ohne Sicherheiten, die innerhalb derselben Transaktion auf der Blockchain zurückgezahlt werden müssen. Trader nutzen diese Kredite für Arbitrage-Handel.
Doch böswillige Akteure können Flash Loans auch nutzen, um Liquidität aus DeFi-Protokollen abzusaugen. Die Kredite stellen das benötigte Kapital bereit, um Schwachstellen im Code eines Protokolls auszunutzen.
Letztes Jahr hat das Ethereum-Kreditprotokoll Euler Finance zunächst 197 Millionen US-Dollar bei einem Flash-Kredit-Angriff verloren, obwohl der Hacker später 85% der gestohlenen Krypto zurückgab.
Zu den anderen jüngsten Flash-Loan-Exploits gehören der 20-Millionen-Dollar-Hack von Sonne Finance letzten Monat und der 44-Millionen-Dollar-Hack von Hedgey im April.
In den ersten fünf Monaten des Jahres haben Hacker schätzungsweise 560 Millionen US-Dollar aus DeFi-Protokollen gestohlen - eine Steigerung von 32% gegenüber dem gleichen Zeitraum im Vorjahr, so Daten von DefiLlama.
Patryn war Mitbegründer von QuadrigaCX, das aufgrund von Betrug des Mitbegründers Gary Cotten zusammenbrach, so die Ontario Securities Exchange.
Der Austausch brach zwei Jahre nachdem Patryn ihn verlassen hatte zusammen. Später wurde Patryn - unter seinem Pseudonym 0xSifu - Treasurer von Wonderland, einem beliebten DeFi-Protokoll. Der Token dieses Protokolls stürzte im Januar 2022 ab, nachdem Patryns Identität bekannt gegeben worden war.
Aleks Gilbert ist DeFi-Korrespondent bei DL News. Hast du einen Tipp? Schreibe ihm eine E-Mail an aleks@dlnews.com.
