In einem Exklusivinterview mit crypto.news hat der unter dem Pseudonym Trust bekannte White-Hat-Hacker wichtige Details zu einem kürzlich erfolgten Hack preisgegeben, bei dem eine Schwachstelle im RouteProcessor2-Vertrag ausgenutzt wurde.

Trust konnte einen erheblichen Teil der Benutzergelder retten, indem es am 10. April einen präventiven Hack der von Sifu gehaltenen Gelder durchführte und diese Gelder anschließend in Sicherheit brachte.

Leider gelang es böswilligen Akteuren, den Angriff zu imitieren und die Schwachstelle gegen andere Inhaber auszunutzen.

SushiSwap von fortgeschrittenem Angriff betroffen

Trust erklärte, dass der RouteProcessor2-Vertrag, der erst vor vier Tagen eingeführt wurde, dazu dient, verschiedene Arten von Token-SushiSwap-Swaps (SUSHI) zu überwachen. Benutzer genehmigen den Vertrag vorab, um ihre ERC20-Token auszugeben, und rufen dann die Funktion swap() auf, um den Swap auszuführen.

Der Vertrag interagiert jedoch auf unsichere Weise mit UniswapV3-Pools, da er der vom Benutzer bereitgestellten „Pool“-Adresse vollständig vertraut.

Durch dieses Versehen kann ein böswilliger Pool dem Vertrag falsche Angaben über die Quelle und den Betrag einer Überweisung machen, wodurch jeder Benutzer einen Tausch vortäuschen und Zugriff auf den gesamten genehmigten Betrag eines anderen Benutzers erhalten kann.

Das könnte Sie auch interessieren: So verursachten MEV-Bots auf SushiSwap einen Verlust von 3,3 Millionen Dollar

Trust gab an, dass diese Sicherheitsanfälligkeit von jedem vernünftigen Wirtschaftsprüfungsunternehmen hätte erkannt werden müssen, was Zweifel an der Reife der Produktionscodebasis aufkommen ließ.

Der Hacker erwähnte außerdem die Existenz hochentwickelter Bots, die ihre geldsparenden Transaktionen replizierten, um stattdessen Vermögenswerte zu stehlen, und betonte die umfangreichen Ressourcen und Fähigkeiten dieser Bots, die als Miner Extractable Value (MEV)-Bots bekannt sind.

Trust hat sich aus mehreren Gründen für den präventiven Hack entschieden.

Erstens hatte er eineinhalb Stunden vor dem Hack einen vollständigen Bericht zur Schwachstelle eingereicht, aber keine Antwort erhalten.

Zweitens befürchtete er, dass das Entwicklungsteam am Wochenende möglicherweise nicht verfügbar sein würde.

Drittens wussten sie, dass der Vertrag nicht manipuliert werden konnte, sondern nur gehackt werden konnte oder dass die Benutzerzulassungen widerrufen werden konnten.

Schließlich legten sie Wert darauf, eine einzige Adresse zu speichern, an der der Großteil der gefährdeten Gelder lag: Sifus Adresse. Trust hatte auch die Komplexität der MEV-Bots in dieser Situation nicht vorhergesehen.

Angesichts dieser Enthüllungen ist es für die Krypto-Community von entscheidender Bedeutung, ihre Sicherheitspraktiken zu überprüfen und gründlichen Prüfungen der Smart Contracts Priorität einzuräumen, um die Ausnutzung solcher Schwachstellen zu verhindern.

Die Aktionen von Trust verdeutlichen die Bedeutung von White-Hat-Hackern im Ökosystem, die daran arbeiten, die Gelder der Benutzer zu schützen und die allgemeine Sicherheit zu verbessern.

Das könnte Sie auch interessieren: DeFi-Protokoll Euler Finance wird Opfer eines Hacks im Wert von 197 Millionen US-Dollar