Lendf.me-Hack: Exploit sorgt für Verlust von 25 Millionen US-Dollar

Die dezentrale Finanzplattform Lendf.me des Unternehmens dForce wurde am frühen Sonntagmorgen gehackt. Die Finanzplattform Lendf.me des Unternehmens aus Peking gilt als ein Schwergewicht unter den noch neuartigen DeFi (Decentralized Finance)-Verleihprotokollen. Ein solches Protokoll ermöglicht klassische Finanzdienstleistungen, wie das Verleihen, Versenden und Investieren, von digitalen Währungen auf dezentraler Ebene. Der gestrige Exploit sorgte für einen Verlust von etwa 25 Millionen US-Dollar, was zum Zeitpunkt des Angriffs etwa 100 Prozent des Einlagevermögens ausmachte.

Was ist DeFi und wie funktioniert ein solches Protokoll?

Als Decentralized Finance beschreibt man Produkte und Anwendungen, die als Smart Contract auf einer Blockchain aufsetzen und klassische Finanzdienstleistungen abbilden. Damit sind vor allem Instrumente aus dem Bankenwesen gemeint, wie das Ausgeben eines Darlehns, ein Währungsaustausch oder das Verzinsen von Einlagen und Investitionen. Der Fokus bei DeFi-Produkten liegt in dem Zusammenhang auf dem dezentralen Ansatz der Blockchain-Technologie. Die aus der klassischen Finanzwelt bekannten Instrumente werden durch DeFi-Protokolle mit der Distributed Ledger Technologie vereint.

DeFi bringt also nicht nur Produkte aus dem Banken- und Geldwesen in die Kryptowelt, vielmehr bietet es auch Menschen neue Möglichkeiten, die die klassischen Instrumente aus unterschiedlichsten Gründen nicht nutzen können. Als Grundlage vieler bereits existierender DeFi-Lösungen dient die Ethereum-Plattform. Die auf der Blockchain platzierten Smart Contracts, bilden jeweils die unterschiedlichen Prozesse ab. Nach diesem Schema agiert auch die eingangs erwähnte Finanzplattform Lendf.me, welche nun einem Angriff zu Opfer fiel.

Lendf.me-Hack: Angreifer erbeuten rund 25 Millionen Dollar

Um etwa 8:45 Uhr Ortszeit in Peking wurde die Blockchain von dForce auf Blockhöhe 9.899.681 von einem oder mehreren unbekannten Tätern gehackt. Dabei wurden 99,95 Prozent aller Einlagen in Form von Bitcoin und Ethereum entwendet. Kursdaten zeigen einen extremen Einbruch des in dForce eingelagerten Kapitals. Umgehend gab dForce über seinen CEO Mindao Yang bekannt, dass der Vorfall untersucht wird und Anleger die DeFi-Plattform unter allen Umständen meiden sollen. Auch Lendf.me gab über alle Kanäle bekannt, dass Nutzer den Dienst vorrübergehend nicht mehr nutzen sollen. Mittlerweile ist die Website komplett vom Netz genommen.

Lendf.me Website

Bereits kurze Zeit nach dem Angriff kamen erste Details ans Licht. Berichten zufolge wurde der Hack offenbar über den Ethereum Token imBTC eingeleitet. Dieser ist im Verhältnis eins zu eins an den Bitcoin (BTC) gekoppelt. Der Angreifer machte sich offenbar eine eigentlich bekannte Schwachstelle zunutze. Über den imBTC Token konnte er kontinuierlich die dezentrale Ethereum App (dApp) von Uniswap nutzen und Einlagen abheben, ohne, dass die Bilanz zeitgleich aktualisiert wurde. Die dApp von Uniswap ist eine beliebte Methode, um ohne eine Börse als Vermittler Ethereum Token zu tauschen, abzuheben oder zu veräußern.

Viele Nutzer von Lendf.me und externe Beobachter kritisierten die Plattform schnell für die Tatsache, dass diese mit großer Wahrscheinlichkeit nicht oder nur unzureichend die notwendigen Schutzmaßnahmen getroffen hat. Das Problem im Zusammenhang mit imBTC ist bereits seit Anfang des Jahres bekannt, da es bereits damals in Verbindung mit Uniswap für einen Betrugsversuch verwendet wurde. Lendf.me und dForce sind nach wie vor mit der Aufklärung des Geschehens beschäftigt und haben nach eigenen Angaben bereits die Behörden informiert.

DeFi dForce Chart

DeFi-Produkte mit schwerem Stand

Viele Experten sprechen dezentralen Finanzinstrumenten eine große Zukunft zu. Bereits heute erfreuen sich die existierenden Produkte großer Beliebtheit. Allein auf der Ethereum Plattform sind etwa 3 Prozent aller Ether in dApps und Smart Contracts aus DeFi-Produkten investiert. Insbesondere dForce gilt als einer der Vorreiter auf diesem Gebiet. Erst in der vergangenen Woche konnte dForce 1,5 Millionen Dollar an Investmentgeldern von der Investmentgesellschaft Multicoin Capital einsammeln. Von dem Geld sollte nach Angaben des Unternehmens neues Personal eingestellt und neue Produkte entwickelt werden. Daher ist der Zeitpunkt des Hacks gleich doppelt ungünstig für das chinesische Unternehmen.

Doch so innovativ wie der Ansatz von DeFi auch sein mag, so schwer kommt die Technologie in Tritt. Das liegt insbesondere daran, dass DeFi-Produkte immer wieder Ziel von Angriffen werden. Die bekannte Plattform von MakerDAO wurde am 12. März 2020 von Angreifern infiltriert, was einen extremen Kurseinbruch zur Folge hatte. Dieser Crash wurde anschließend als „Schwarzer Donnerstag“ in der Kryptowelt bekannt und sorgte für die vollständige Liquidation zahlreicher Schuldenpositionen der Kreditnehmer auf der Lending-Plattform. Dadurch wurde das Vertrauen der Anleger in die Technologie nachhaltig negativ beeinflusst.

Fazit: Lendf.me-Hack schädigt die gesamte DeFi-Branche

Die dezentrale Finanzplattform Lendf.me des chinesischen Unternehmens dForce erlitt am Sonntag, dem 19.04.2020, einen Angriff durch einen noch unbekannten Hacker. Dieser erbeutete im Grunde das komplette eingelagerte Vermögen von etwa 25 Millionen US-Dollar. Aktuell wird der Vorfall noch untersucht, der Totalverlust wird die aufstrebende DeFi-Plattform jedoch erheblich zurückwerfen. Über Lendf.me können Anwender klassische Instrumente aus dem Bankwesen in der dezentralen Welt der Kryptowährungen nutzen.

Besonders ärgerlich für die Nutzer der Plattform dürfte die Tatsache sein, dass der Hack offenbar zu vermeiden gewesen wäre. Erste Vermutungen lassen befürchten, dass der Angreifer eine bekannte Schwachstelle im ERC-777 Token imBTC in Kombination mit der dApp von Uniswap ausgenutzt hat. Das Problem ist bereits seit einiger Zeit bekannt und man hätte Angreifern keine weitere Möglichkeit zur Ausnutzung geben dürfen. Nichtsdestotrotz sind die abschließenden Berichte der Behörden und der Betreiber von Lendf.me abzuwarten.

Das Unternehmen berichtet über Twitter und Medium über den aktuellen Stand der Dinge.

Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert