Ein Hacker hat einen Exploit genutzt, um etwa 80 Millionen US-Dollar von Qubit Finance zu stehlen, einer dezentralen Finanzplattform (DeFi), die es Benutzern ermöglicht, Kredite zu leihen und über Kursschwankungen von Kryptowährungen zu spekulieren.
Der Hack fand gestern Abend, am 27. Januar, statt und wurde von der Plattform innerhalb weniger Stunden offiziell bestätigt.
Laut einem Bericht des Hacks sagte Qubit, der Angreifer sei in der Lage gewesen, 206.809 Binance Coins (BNB) aus seiner Brieftasche zu stehlen, indem er eine Schwachstelle in einem seiner Ethereum-Blockchain-Verträge nutzte, die das Unternehmen zur Verarbeitung von Transaktionen für seine Benutzer verwendet.
Die Adresse des Hackers wurde letzte Nacht identifiziert, und die Gelder befinden sich immer noch im Besitz des Hackers und wurden noch nicht gewaschen.
Angebot an den Hacker
Da Qubit das Geld nicht alleine zurückerhalten kann, hat das Unternehmen dem Hacker eine Nachricht über die Funktion „Private Notiz“ einer Blockchain-Transaktion gesendet und angeboten, dem Hacker eine Bug-Bounty-Belohnung zu zahlen, in der Hoffnung, den Hacker davon zu überzeugen die gestohlenen Gelder zurückgeben.
Das Unternehmen folgte dieser Erklärung später mit einer vollständigen öffentlichen Nachricht, die auf seinem Twitter-Konto veröffentlicht wurde, und forderte den Hacker erneut auf, sich mit seinem Team in Verbindung zu setzen, um den Fehler offenzulegen und eine Prämie zu erhalten.
— Qubit Finance (@QubitFin) January 28, 2022
Damit hat sich Qubit nun einer langen Liste von Kryptowährungs-DeFi-Plattformen angeschlossen, die gehackt wurden und dann Hacker anflehten, die Gelder zurückzugeben, indem sie sich bereit erklärten, alle Zahlungen als Bug-Bounty-Belohnungen zu tarnen, was in einigen Gerichtsbarkeiten möglicherweise nicht legal ist.
Das Unternehmen hat keine Bitte um Stellungnahme zurückgeschickt, wenn der Hacker bisher an irgendeiner Kommunikation beteiligt war.
Wenn der Hacker sich weigert, das Geld zurückzugeben, wird der Qubit-Hack auch als einer der Top 10 der größten Hacks einer DeFi-Plattform eingestuft, die jemals aufgezeichnet wurden.
In einem heutigen Gespräch hat Tal Be’ery, CTO der Kryptowährungs-Wallet-App ZenGo, auch darauf hingewiesen, dass der Hack von Qubit Teil eines größeren Trends in der Kryptowährungsbranche ist.
„Kürzlich wurden einige Bridge-Projekte gehackt: Polychain MATIC, Multichain und jetzt Qubit“, sagte Be’ery.
„Bridge-Projekte, die Token und Coins von einer Blockchain in eine andere ‚verschieben‘, scheinen anfälliger für Angriffe zu sein, da sie die Token nicht selbst verschieben, sondern stattdessen eine Einzahlungsfunktion verwenden, um die Coin in eine interne Repräsentation einzutauschen, und tun dies auch ihre interne kettenübergreifende Buchhaltung mit dieser Darstellung“, fügte er hinzu.
„Wenn dort ein Fehler auftritt, kann der Angreifer Geld in der internen Darstellung ‚drucken‘ und es dann gegen ‚echtes‘ Geld abheben“, sagte Be’ery und erklärte den grundlegenden Mechanismus hinter dem Exploit des Hackers und wie es ihnen gelang, Qubits zu stehlen Mittel.
Neben dem eigenen Bericht von Qubit hat das Blockchain-Sicherheitsunternehmen CertiK auch eine alternative Analyse des Qubit Finance-Exploits veröffentlicht – falls die Leser mehr über die technische Seite des Angriffs erfahren möchten.
