Das US-Justizministerium (DOJ) hat gerade Einzelheiten zum Angriff auf KyberSwap bekannt gegeben – eine dezentrale Finanzplattform (DeFi) des von Vietnamesen entwickelten Kyber Network-Projekts. Demnach wird der kanadische Staatsbürger Andean Medjedovic (22 Jahre) beschuldigt, hinter dem Hackerangriff von Ende 2023 zu stecken, bei dem KyberSwap-Nutzer 48,4 Millionen USD verloren.
So greifen Hacker an
KyberSwap ermöglicht es Benutzern, Kryptowährungen auszutauschen und sie gleichzeitig per Crowdfunding in Liquiditätspools einzuzahlen. Dadurch verfügt das System über einen Pool an Token, die jederzeit zum Tausch zur Verfügung stehen. Hacker nutzten eine Schwachstelle im Smart Contract von KyberSwap aus, liehen sich mithilfe von „Flash Loan“-Tools vorübergehend große Kapitalbeträge und legten dieses Geld in Liquiditätspools an.
Anschließend manipulierte er die Preise, indem er sorgfältig kalkulierte Transaktionen durchführte, um das System auszutricksen. Dadurch kam es zu Fehlberechnungen der Software und der Hacker konnte mehr Vermögen abheben, als er eingezahlt hatte.
KyberSwap-Exploit kostet Benutzer 48,4 Millionen US-Dollar
In der Anklageschrift beschreibt das Justizministerium die Schwachstelle als einen „Rundungsfehler“ in den Berechnungsschritten. Beispielsweise beträgt das Token-Tauschlimit 1.056.056.735.638.220.800.000 und der Hacker hat eine Bestellung über 1.056.056.735.638.220.799.999 aufgegeben (nur 1 Einheit weniger) – also immer noch innerhalb des Limits. Aufgrund der Rundungsregel funktionierten einige Funktionen jedoch nicht genau wie vorgesehen, wodurch eine ausnutzbare Schwachstelle entstand.
Medjedovic führte 77 solcher Transaktionen durch und entwendete dabei insgesamt 48,4 Millionen Dollar aus den Geldbörsen der Benutzer. Medjedovic nutzte daraufhin verschiedene Tricks, um Spuren zu verwischen, etwa indem er das Geld an verschiedene Börsen überwies oder es in einen Token-Mixer steckte.
Zusätzlich zu den Anklagen wegen Hausfriedensbruchs wird Medjedovic auch Erpressung vorgeworfen. Er soll Nachrichten geschickt haben, in denen er von Kyber Network verlangte, ihm im Austausch für die Rückgabe eines Teils der gestohlenen Vermögenswerte die teilweise Kontrolle über das Unternehmen zu überlassen. Der 22-jährige Hacker war außerdem davon überzeugt, dass es ihm gelungen sei, die Ermittler auszutricksen. Als er jedoch Probleme mit dem Tool zur Spurenentfernung hatte, wandte sich Medjedovic hilfesuchend an „einen Softwareentwickler“, ohne zu ahnen, dass es sich bei dieser Person um einen verdeckten Ermittler handelte.
KyberSwap-Antwort
Laut Tran Huy Vu, CEO von Kyber Network, hat das Unternehmen zwar noch nicht alle verlorenen Vermögenswerte wiederhergestellt, sie aber proaktiv an die Benutzer zurückgegeben. Der schwerwiegende Vorfall zwang Kyber Network Ende 2023 zu einer Umstrukturierung, bei der 50 % der Mitarbeiter entlassen und die KyberSwap Elastic-Funktion vorübergehend geschlossen wurden.
Das Justizministerium sprach von einem ausgeklügelten Diebstahl, bei dem eine Lücke in einem DeFi-Smart-Contract ausgenutzt wurde. Beobachter sagen, der Vorfall sei für alle DeFi-Projekte eine Erinnerung, ständig nach Schwachstellen zu suchen, bei komplexen Handelsaufträgen vorsichtig zu sein und einen Risikoreaktionsplan zu haben. Da DeFi immer beliebter wird, zeigt Medjedovics Angriff, wie Hacker selbst die kleinsten Fehler in der Computerlogik finden und ausnutzen können.
„Trotz der Komplexität von DeFi konnten wir den Verantwortlichen für den massiven Diebstahl ausfindig machen und festnehmen“, bekräftigte der Vertreter des US-Justizministeriums. Der Vorfall wird als Beweis dafür gesehen, dass die Behörden trotz der vielen Verschleierungstaktiken des Angreifers immer noch eine Möglichkeit haben, den Täter zu finden und vor Gericht zu stellen.
[Anzeige_2]
Quelle: https://thanhnien.vn/tin-tac-canada-chiem-doat-hon-48-trieu-usd-tu-du-an-kyberswap-cua-nguoi-viet-185250205084915802.htm
Kommentar (0)