Een hacker is erin geslaagd om het, door Multicoin Capital gesteunde, Chinese gedecentraliseerde financiële protocol dForce te exploiteren, waardoor bijna alle $25 miljoen aan Bitcoin, Ether en stablecoins die erin zijn opgesloten, verdwenen zijn.
Volgens DeFiPulse daalde de waarde die in het protocol opgesloten zat van bijna $25 miljoen tot ongeveer $6, en is het uitleenplatform Lendf.Me, binnen het dForce-ecosysteem, nu ontoegankelijk. Het Lendf.Me-platform integreerde de imBTC-token in januari, een Ethereum-token gekoppeld aan de waarde van Bitcoin (BTC).
Het is duidelijk geworden dat de hacker een kwetsbaarheid binnen de ERC777-standaard gevonden heeft en gebruikt heeft om een aanval uit te voeren. Het callback-mechanisme van ERC777 (imBTC) stelde de hacker in staat imBTC herhaaldelijk te leveren en terug te trekken, voordat het saldo werd bijgewerkt.
Niet de eerste keer
Ethereum blockchain-gegevens laten zien dat de hacker inderdaad de terugtrekkingsfuncties van Lendf.Me heeft ingeschakeld om de tokens eruit te halen, nadat hij het protocol had voorzien van imBTC-tokens. Het is vermeldenswaard dat een vergelijkbare aanval werd gebruikt tijdens de beroemde DAO-hack in 2016.
Tevens werd een liquiditeitspool voor imBTC eerder geëxploiteerd op gedecentraliseerde cryptocurrency-exchange Uniswap. Dit leverde de hacker toen $300.000 op, waarbij hij profiteerde van de ERC-777-standaard. In een blogpost leek dForce-CEO Mindao Yang te bevestigen dat dezelfde exploit gebruikt is. Hij zei het volgende:
“We weten dat de hacker(s) een kwetsbaarheid binnen de ERC777-standaard van imBTC hebben gebruikt om een herhalingsaanval uit te voeren. Het callback-mechanisme van ERC777 (imBTC) stelde de hacker(s) in staat imBTC herhaaldelijk te leveren en terug te trekken voordat het saldo werd bijgewerkt.”
Onderhandelingen
Op de blogpost onthulde Yang ook dat de hacker contact heeft gehad met het dForce-team en in onderhandeling is geweest. Het team lijkt de hacker een bericht op de Ethereum-blockchain te hebben gestuurd met het verzoek om contact op te nemen, wat blijkbaar gebeurd is.
Yang gaf ook aan dat dForce contact heeft opgenomen met “vooraanstaande beveiligingsbedrijven voor een uitgebreidere beveiligingsbeoordeling van Lendf.Me”, en samenwerkt met grote cryptocurrency-exchanges, OTC-desks en wetshandhavingsinstanties om het incident te onderzoeken en om de hacker te stoppen om het gestolen geld wit te wassen.
Hoewel het onduidelijk is wat dForce en de hacker hebben besproken, lijkt het erop dat ze een soort overeenkomst hebben bereikt, omdat uit blockchain-gegevens blijkt dat de hacker duizenden dollars heeft teruggegeven in HUSDv en HBTC, tokens die zijn gekoppeld aan de Amerikaanse dollar en aan Bitcoin, die gebruikt worden op Huobi.
Sommige analisten wezen erop dat de hacker deze activa waarschijnlijk heeft geretourneerd omdat ze alleen op Huobi worden verhandeld, waardoor het erg moeilijk is om ze wit te wassen.