Ein Hacker nutzte einen riesigen „Blitzkredit“, um 20 Millionen Dollar von UwU Lend abzuzweigen, dem Krypto-Kreditprotokoll, das von Michael Patryn gegründet wurde, einem Internetunternehmer, der QuadrigaCX betrieb, eine kanadische Krypto-Börse, die 2018 wegen Betrugs zusammenbrach.

Bei UwU hat Patryn, der unter seinem Pseudonym 0xSifu besser bekannt ist, dem Hacker einen Deal angeboten: Geben Sie etwa 16 Millionen Dollar in Kryptowährung zurück, und wir lassen alle potenziellen Anklagen fallen.

„Wir bieten eine White-Hat-Prämie von 20 % aller eingenommenen Gelder“, schrieb Patryn in einer über Ethereum gesendeten Nachricht. „Sie laufen kein Risiko, dass wir die Sache weiter verfolgen, und Sie laufen auch nicht Gefahr, strafrechtlich belangt zu werden.“

Der Trick ist in der Kryptowelt Standard, wo das Identifizieren von Hackern und das Wiederbeschaffen gestohlener Token eine zeitraubende Angelegenheit ist. Aber er wird von Hackern oft ignoriert, mit einigen bemerkenswerten Ausnahmen.

UwU Lend wurde 2022 eingeführt und ist ein Klon des Kreditprotokolls Aave, das am Montag mit über 20 Milliarden US-Dollar an Benutzereinlagen das zweitgrößte Protokoll im Bereich dezentraler Finanzen war.

Doch eine entscheidende Änderung ermöglichte es dem Hacker laut dem Krypto-Sicherheitsunternehmen Blocksec am frühen Montag, das Protokoll in einer Reihe von Transaktionen zu lüften: der Einsatz leicht manipulierbarer Preis-„Orakel“, die UwU die Preise verschiedener Token mitteilen.

Neben einem Sofortkredit in Milliardenhöhe – laut Matthew Jiang, dem Leiter der Sicherheitsdienste bei Blocksec, könnten es sogar bis zu 4 Milliarden Dollar sein – gelang es dem Hacker, etwa 20 Millionen Dollar von UwU abzuzweigen.

„Der Angreifer hat eine riesige Menge an Vermögenswerten per Flash-Darlehen verliehen“, sagte Jiang gegenüber DL News. „Er hat fast alle Vermögenswerte in der Kette geliehen, die per Flash-Darlehen verliehen werden können.“

Zu X sagten die UwU-Entwickler, sie hätten das Protokoll angehalten, während sie den Hack untersuchten. UwU antwortete am Montag nicht sofort auf die Bitte von DL News um einen Kommentar.

Blitzkredite

Flash-Kredite ermöglichen Kredite ohne Sicherheiten, die innerhalb derselben Transaktion auf der Blockchain zurückgezahlt werden müssen. Händler nutzen diese Kredite für Arbitragegeschäfte.

Aber böswillige Akteure können auch Blitzkredite nutzen, um Liquidität aus DeFi-Protokollen abzuschöpfen. Die Kredite liefern das nötige Kapital, um Schwachstellen im Code eines Protokolls auszunutzen.

Letztes Jahr verlor das Ethereum-Kreditprotokoll Euler Finance bei einem Blitzkreditangriff zunächst 197 Millionen US-Dollar, obwohl der Hacker später 85 % der gestohlenen Kryptowährung zurückgab.

Zu den weiteren jüngsten Angriffen auf Blitzkredite zählen der Hack von Sonne Finance im Wert von 20 Millionen US-Dollar im letzten Monat und der Hack von Hedgey im Wert von 44 Millionen US-Dollar im April.

In den ersten fünf Monaten des Jahres haben Hacker schätzungsweise 560 Millionen US-Dollar aus DeFi-Protokollen gestohlen – ein Anstieg von 32 % gegenüber dem gleichen Zeitraum im Vorjahr, wie aus den Daten von DefiLlama hervorgeht.

Patryn war Mitbegründer von QuadrigaCX, das laut der Ontario Securities Exchange aufgrund von Betrug durch Mitbegründer Gary Cotten zusammenbrach.

Die Börse brach zwei Jahre nach Patryns Ausscheiden zusammen. Patryn wurde später – unter seinem Pseudonym 0xSifu – der Treasury-Manager für Wonderland, ein beliebtes DeFi-Protokoll. Der Token dieses Protokolls stürzte im Januar 2022 ab, nachdem Patryns Identität aufgedeckt wurde.

Aleks Gilbert ist DeFi-Korrespondent bei DL News. Haben Sie einen Tipp? Senden Sie ihm eine E-Mail an aleks@dlnews.com.