Ein bösartiger Smart Contract auf der Arbitrum-Kette verursachte einen geschätzten Verlust von 2,7 Millionen US-Dollar. Erste Analysen zeigten, dass SUN-Token außerhalb ihres üblichen Zeitplans geprägt wurden. 

Ein Angreifer setzte einen bösartigen Smart Contract in der Arbitrum-Kette ein, der die Sun (SUN)-Token beeinträchtigte. Der Angriff erzeugte mehr SUN aus dem Nichts, was zu potenziellen Verlusten von 2,8 Millionen US-Dollar führte. Der Angriff fand statt, nachdem der Verwaltungs-Smart Contract in einer einzigen Transaktion aktualisiert wurde, und die Mittel dann in den nächsten Blöcken getauscht wurden. Der Angreifer nutzte die Across-Brücke, um die anfängliche Wallet von Ethereum zu finanzieren. 

Die Tokens wurden sofort getauscht, was dem Angreifer ermöglichte, die Gewinne sofort zu sichern. Der prägende Angreifer prägte insgesamt 200 Billionen SUN und tauschte sie fast sofort gegen USDT. Die Transaktionen waren über die SUN-Token-Seite sichtbar und fanden Stunden bevor sie bemerkt wurden statt. 

SUN-Token wurden in zwei Transaktionen geprägt und getauscht, was das Asset auf null abstürzen ließ. | Quelle: Nansen

Eine der Swap-Transaktionen betrug mehr als 2,1 Millionen USDT, während die restlichen SUN-Token gegen WETH getauscht wurden, was zu einem weiteren Verlust von 750.000 US-Dollar führte. 

Das Arbitrum-Netzwerk selbst ist nicht betroffen. Der kürzliche Exploit kam nur Tage nachdem ein anderer anfälliger Smart Contract um 93.000 US-Dollar an Token aufgrund einer fehlerhaften Funktion entleert wurde. 

ALARM! Unser System hat Angriffs-Transaktionen erkannt, die auf den Vertrag von @RamsesExchange auf #Arbitrum abzielen, was zu einem Verlust von ca. 93.000 US-Dollar führte. Wir haben das Team kontaktiert, und sie haben uns informiert, dass bereits Maßnahmen ergriffen wurden.

Die Hauptursache scheint ein nicht verifiziertes Eingabefeld in… pic.twitter.com/I4KsHblIrC

— BlockSec Phalcon (@Phalcon_xyz) 24. Oktober 2024

Arbitrum-Nutzer waren auch vom kürzlichen Radiant Capital-Hack betroffen, der zu Verlusten von 50 Millionen US-Dollar führte. Nutzer von Radiant Capital sind weiterhin betroffen, wenn sie aktive Wallet-Zulassungen für das Protokoll haben. 

SUN stürzt ab, da seine Hauptbörse ausgeräumt wird

Der SUN-Token ist relativ inaktiv und der Smart Contract verweist auf keinen bekannten DEX. SUN erschien erstmals um den 17. September mit einem begrenzten Angebot an Liquidität. Der Token wuchs nach seinem Start allmählich von 7 $ auf 10 $ in den Wochen vor dem Angriff. Das Hauptziel des Tokens war es, als Wertaufbewahrungsmittel und Sicherheit für dezentrale Finanzen zu dienen. 

SUN-Token stürzten auf null ab, nachdem ein Smart Contract auf Arbitrum ausgenutzt wurde. | Quelle: DEXScreener

Der Token-Hack führte zum Verlust aller nominalen Werte. Tatsächlich machte die Exploit-Transaktion fast das gesamte Volumen von SUN bis jetzt aus und erreichte insgesamt 2,2 Millionen US-Dollar. 

Mehr als 94% aller SUN wurden in einer einzigen Wallet gehalten, was darauf hindeutet, dass das Projekt noch nicht vollständig operierte. Die Wallet ist als SunRay LP oder Liquiditätsanbieter auf dem Sunray DEX gekennzeichnet

Mehr als 19.900 Adressen hielten SUN-Token vor dem Exploit, obwohl die meisten noch von einer einzigen Entität kontrolliert wurden. Keine der Adressen war direkt betroffen, da der Ausbeuter ein neu geprägtes Angebot verkaufte. 

Ein X-Konto, das mit dem Sunray DEX verbunden ist, offenbarte die verdächtigen Aktivitäten, die aus seiner Schatzkammer stammten. Das Sunray DEX stellte fest, dass SUN- und ARC-Token aus seiner Schatzkammer geflossen sind und das Team versucht, sie zurückzuholen. Dies könnte jedoch unmöglich sein, da die Tokens bereits gegen USDT getauscht wurden, die möglicherweise erneut bewegt oder gehandelt werden könnten. 

🌇Hallo, Sunray globale Nutzer,

🌈Bezüglich der Übertragung von SUN- und ARC-Token-Schatzvermögen um die Mittagszeit heute arbeiten wir derzeit hart daran, sie wiederherzustellen. Keine Sorge, alle Benutzervermögen sind auf der Kette verfügbar. Ich glaube, dass SUNRAY in Zukunft immer beliebter werden wird pic.twitter.com/wmQo9W1q0L

— SUNRAY·FINANCE (@SUNRAY_DEX) 30. Oktober 2024

Sunray DEX ist ein neuer Versuch, einen blockchain-basierten Markt auf Arbitrum aufzubauen. Der DEX wurde mit der Beteiligung von SoftBank erstellt, obwohl das Projekt nicht auf seiner Portfolioseite aufgeführt ist. Das Sunray DEX X-Konto kommunizierte auch auf eine Weise, die es als Krypto-Außenseiter kennzeichnete, und brauchte lange, um in einer dynamischen Umgebung zu starten, in der neue Tokens und DEX ihre Aktivität viel schneller aufbauen. 

Das Sunray DEX hat eine Landing Page, aber die meisten seiner Funktionen sind noch inaktiv. Das Sunray Finance-Protokoll versprach ein extrem hohes passives Einkommen von 299% für SUN, mit der Ergänzung des ARC-Governance-Tokens. 

Weder Sunray Finance noch Sunray Swap haben über ihre Kanäle einen Hack gemeldet. Die Untersuchung ist im Gange, da der native SUN-Token jetzt praktisch wertlos ist. Sunray Finance behauptete, seine Smart Contracts seien geprüft worden, aber die sozialen Medien des Projekts deuten darauf hin, dass es nicht ausreichend auf die neuesten DEX- und Web3-Herausforderungen und -Angriffe vorbereitet war. 

Der kürzliche Exploit war im Vergleich zu anderen DEX-Hacks relativ klein. Es könnte jedoch auf einen weiteren Verlust auf Seiten von SoftBank hinweisen, falls es tatsächlich der Hauptfinanzierer von Sunray Finance ist. Der DEX selbst hat keine eigene Landing Page und verweist nur auf SoftBank. Der japanische Investmentfonds hat mehrere Krypto-Projekte unterstützt, von denen einige erfolgreich waren, andere wie FTX jedoch tiefgreifende Verluste erlitten haben.