Rho Markets, ein 43 Millionen Dollar schweres DeFi-Protokoll auf der Scroll-Blockchain, musste seinen Betrieb aufgrund eines Sicherheitsvorfalls einstellen, der Millionen aus seiner Kasse floss.
Onchain-Daten zeigen, dass ein Exploiter am Freitag Ether im Wert von 7,5 Millionen US-Dollar aus dem DeFi-Yield-and-Lending-Protokoll abgezogen hat.
„Wir haben ungewöhnliche Aktivitäten auf unserer Plattform festgestellt und untersuchen diese derzeit“, sagte das Team über seinen X-Account.
Das Dashboard von Rho Markets zeigt, dass der Hacker den gesamten Vorrat an USDT- und USDC-Stablecoins des Protokolls geleert hat.
Der Angreifer führte den Exploit aus, indem er das Orakel des Protokolls manipulierte – eine Funktion, die Smart Contracts mit Informationen aus Offchain-Quellen versorgt –, um den Stablecoin-Vorrat zu leeren und mehr als das Doppelte der hinterlegten Sicherheiten in Ether abzuheben.
Daten von Debank zeigten, dass sich zum Zeitpunkt der Berichterstellung noch immer Ether im Wert von 7,5 Millionen US-Dollar in der Brieftasche des Angreifers befanden.
Rho Markets antwortete nicht sofort auf eine Bitte um Stellungnahme.
Das Scroll-Team hat die Finalisierung in seinem Netzwerk nach dem Exploit vorübergehend verzögert, die Pause inzwischen jedoch aufgehoben, sagte Toghrul Maharramov, leitender Forscher bei Scroll, gegenüber DL News.
Da es sich jedoch um einen Fork des alten DeFi-Protokolls Compound handelte, zielte der Oracle-Angriff wahrscheinlich auf eine Rundungsfehler-Sicherheitslücke ab, eine bekannte Schwäche anderer Compound-Forks.
Mehrere Angreifer haben in früheren DeFi-Exploits ähnliche Schwachstellen ausgenutzt, darunter Angriffe auf Hundred Finance und Raft Finance.
Sicherheitsexperten haben DeFi-Entwicklern geraten, solche Schwachstellen als nicht trivial zu behandeln und auf Rundungsfehler zu achten.
Der Smart-Contract-Auditor Joe Dakwa sagte DL News zuvor, dass robuste Unit- und Fuzz-Tests zur bewährten Standardmethode werden sollten, um zukünftige Angriffe zu verhindern.
Beim Fuzz-Testing oder Fuzzing werden Smart Contracts zufälligen Dateneingaben unterzogen, um zu sehen, ob der Code Fehlfunktionen aufweist.
Daten von DefiLlama zeigen, dass Rho Markets der drittgrößte Kreditdienst auf Scroll ist.
Das macht Rho Markets zu einem beliebten Ziel für Airdrop-Jäger, die gerne Aktivitäten auf der Scroll-Blockchain registrieren.
Im Mai hat Scroll ein Dashboard eingeführt, mit dem Benutzer ihre in Sessions – dem Treueprogramm des Netzwerks – gesammelten Punkte verfolgen können.
Die Sessions-Kampagne ist Scrolls Version eines Punkteprogramms, das bei DeFi-Projekten als temporärer Platzhalter für Airdrops beliebt geworden ist.
Trotz weitverbreiteter Kritik an Scrolls Sessions sind die Einlagen der Anleger bei Scroll seit Mitte Mai, als Benutzer mit der Verfolgung ihrer Punkte beginnen konnten, um 650 Prozent gestiegen.
Osato Avan-Nomayo ist unser in Nigeria ansässiger DeFi-Korrespondent. Er berichtet über DeFi und Technologie. Um Tipps oder Informationen zu Geschichten zu teilen, kontaktieren Sie ihn bitte unter osato@dlnews.com.