“Engineering Oversight” Kosten ForceDAO $367k

Cyber Security News

Hacker haben sich mit Kryptowährung im Wert von 367.000 $ von einem neuen dezentralen Finanzaggregator (DeFi) innerhalb weniger Stunden nach dessen Start davongemacht.

ForceDAO wurde am Morgen des 3. April gestartet. Seine Betreiber entdeckten, dass die Plattform ausgenutzt wurde, nachdem sie einen Tipp von einem “White Hat”-Hacker erhalten hatten.

Eine Untersuchung des Vorfalls ergab, dass ein “technisches Versehen” Cyber-Kriminellen erlaubt hatte, 183 Ethereum (ETH) zu stehlen.

Die Diebstähle konnten aufgrund eines Fehlers im SushiSwap-Smart-Contract, der von ForceDAO verwendet wurde, stattfinden, der einen Mechanismus enthielt, der Token, die in fehlgeschlagenen Transaktionen verwendet wurden, zurücknehmen konnte. Böswillige Hacker nutzten diese Schwachstelle aus, um xFORCE-Token zu prägen, die sie dann abhoben und gegen ETH eintauschten.

“Dies hätte durch die Verwendung eines Standard-Open Zeppelin ERC-20 oder das Hinzufügen eines safeTransferFrom-Wrappers im xSUSHI-Vertrag verhindert werden können”, sagte das ForceDAO-Team.

Das Unternehmen fügte hinzu, dass “alle Fonds auf unserer Plattform sicher sind, nur xFORCE war betroffen. Insgesamt 183 ETCH (~ $367K) im Wert von FORCE wurden abgezogen und liquidiert.”

Die bösartigen Aktivitäten begannen gegen 7:00 Uhr UTC. Nachdem das ForceDAO-Team auf die Ausbeutung aufmerksam gemacht wurde, transferierte es 60 Millionen FORCE-Tokens von der Treasury-Multisignatur-Wallet in eine Deployer-Wallet. Durch diese Aktion wurden drei Votes erstellt und ausgeführt, wobei die FORCE-Guthaben in Adressen verbrannt wurden, die von drei der fünf verdächtigen Hacker verwendet wurden.

“Wir übernehmen die Verantwortung für dieses technische Versehen und haben Prozesse eingeleitet, um sicherzustellen, dass solche Vorfälle in Zukunft gemildert werden”, sagte ForceDAO in einem xFORCE Exploit Postmortem.

“Wir möchten uns auch bei dem White Hat Hacker bedanken, der dazu beigetragen hat, dass keine weiteren FORCE-Tokens abgezogen werden konnten. Wir haben ein Kopfgeld für Sie.”

In dem Bemühen, sich gegen weitere Angriffe zu schützen, hat ForceDAO zwei verschiedene Sicherheitsfirmen beauftragt, “unsere Repos zu überprüfen und zu analysieren, um sicherzustellen, dass alle Vertragssysteme wie vorgesehen funktionieren.”

Der Überfall auf die neue DeFi-Plattform am Starttag hat den Preis der FORCE-Token dramatisch beeinflusst.

CoinTelegraph berichtet, dass “nach dem Start und Airdrop, FORCE Token Preise stieg auf über $2 am Apr. 4, aber haben seitdem abgestürzt über 95% auf $0.05” ab 8 Uhr GMT am 5. April. Zum Zeitpunkt der Presse, der Preis von FORCE war etwa $0.07.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com