Bedrock DeFi, ein Bitcoinbasierendes DeFi -Protokoll mit einem Wrapped Asset, wurde um 1,7 Millionen Dollar erleichtert. Der Diebstahl von uniBTC ereignete sich nur einen Tag nach einem Angriff auf Onyx Finance.
Bedrock DeFi wurde Opfer eines Angriffs, bei dem uniBTC im Wert von 1,7 Millionen US-Dollar erbeutet wurden. Der Restaking-Pool wurde durch eine Sicherheitslücke im Smart Contract geplündert trac Nach der Untersuchung des Angriffs schloss Bedrock den betroffenen matic Contract trac verhinderte so weitere Angriffe . Der Hacker konnte unbegrenzt uniBTC prägen und damit potenziell alle zugehörigen Pools und Handelspaare gefährden.
Die Sicherheitslücke wurde ursprünglich vom Dedaub-Analyseteam entdeckt, das umgehend versuchte, die Bedrock-Entwickler zu kontaktieren. Doch weniger als drei Stunden später nutzte ein anderer Angreifer dieses Wissen und erzeugte einen Überschuss an uniBTC.
Bedrock DeFi gab bekannt, dass die Sicherheitslücke lediglich uniBTC, eine weitere tokenisierte Form von Bitcoin, betraf. Die zugrundeliegenden Reserven sind weiterhin sicher, und das Protokoll hat das Problem behoben. Die Plattform verwaltet Vermögenswerte im Wert von über 243 Millionen US-Dollar, die aus verschiedenen Netzwerken, darunter Bitcoin und Ethereum, gestakt wurden. Bedrock DeFi hatte sich zum Ziel gesetzt, kettenübergreifendes, liquides Re-Staking anzubieten, bei dem ungenutzte Vermögenswerte passives Einkommen generieren können.
Der tokenisierte UniBTC-Vermögenswert ist ein ERC-20-tracauf der Ethereum Blockchain. Die Wrapped BTC werden auf 3.552 Adressen gehalten und haben eine Gesamtmarktkapitalisierung von 75,4 Millionen US-Dollar. Unmittelbar nach dem Bekanntwerden des Exploits kam es bei einigen dezentralen Handelspaaren zu außergewöhnlichen Kursbewegungen.
Versionen von uniBTC existieren auf insgesamt acht Netzwerken, und einige Protokolle wie Pendle sind – gleichauf mit dem Corn-Protokoll – mit bis zu 30 Millionen US-Dollar an diesem Vermögenswert gebunden. Ein ähnlich anfälligertraczur Prägung von uniBTC stellte eine Bedrohung für Ethereum, Binance, Arbitrum, das Optimism-Mainnet, Mantle, Mode, BOB und ZetaChain dar. Forscher von Dedaub warnten Pendle, wodurch ein Großteil des gebundenen Werts vor der Ausnutzung als Exit-Liquidität bewahrt werden konnte.
Der UniBTC-Hack löste bei dezentralen Börsen (DEX) ähnliche Kursbewegungen aus. In einem Uniswap-V3-Pool stürzte der Kurs auf 17.889,15 US-Dollar , während ein anderes Paar mit einem geringeren Abschlag bei 62.311,48 US-Dollar gehandelt wurde. Die Optimism-Variante des DEX-Paares brach um 90 % auf unter 18.000 US-Dollar ein. Der Kurs erreichte sogar ein neues Tief von 5.741,48 US-Dollar. Aufgrund der geringen Liquidität der Paare dominiert der Verkaufsdruck und verhindert Arbitrageversuche.
Der eigentliche Einbruch des Swap-Satzes dürfte dem Protokoll noch mehr geschadet und auch Reputationsschäden verursacht haben. Stunden nach dem Hack hatte uniBTC seine Parität zu WBTC, das den Großteil der Handelspaare ausmacht, noch nicht wiederhergestellt.
Wie bei anderen Angriffen dieser Art forderten gefälschte Kommentare in sozialen Medien zur Nutzung einer Widerrufswebsite auf. Wallet-Nutzer sind durch diese schädlichen Links zusätzlichen Risiken ausgesetzt, da diese das verbleibende Guthaben aufbrauchen könnten.
Hacker nutzte Bedrocks Aufruf zum uniBTC-tracaus
Der Exploit betraf tokenisierte Wrapped UniBTC, die durch echtes BTC und WBTC gedeckt sind. Forscher wie Dedaub gaben an, die potenzielle Ausnutzung der Bedrock-Sicherheitslücke bemerkt zu haben, der Hack erfolgte jedoch erst Stunden nach der Warnung.
Dedaub wies darauf hin, dass ein Angreifer unbegrenzt uniBTC erzeugen und damit Vaults und dezentrale Handelspaare angreifen könnte. Der Angriff könnte neben Bedrock DeFi . Der Angreifer könnte eine kleine Menge ETH einzahlen und uniBTC zu einem abweichenden Wechselkurs prägen. Das neu geschaffene Asset wäre vollständig übertragbar und könnte auf Uniswap oder anderen dezentralen Protokollen gegen mehr WBTC weiterverkauft werden.
Ein weiterer Forscher, Chaofan Shou, wies darauf hin, dass der uniBTC-tracanfällig für einen Funktionsaufruf war. Die gefährdete Summe wurde wenige Stunden vor der Analyse genau abgehoben.
Mit ItyFuzz könnte man einen voll funktionsfähigen Exploit generieren, der bis zu 1,7 Millionen Dollar von @Bedrock_ DeFi uniBTC stiehlt.
Und alles, was dazu nötig ist, ist ein CPU-Kern + 0,5 Sekunden. pic.twitter.com/SMMD1MSbvT
– Chaofan Shou (@shoucccc) 27. September 2024
Die Inanspruchnahme von Smart Contracts trac weiterhin eines der größten Risiken dar, insbesondere nach dem Anstieg des in DeFi Protokollen gebundenen Kapitals. Der Angriff auf Bedrock DeFi 243 Millionen US-Dollar nahe einem Allzeithoch lag .
Das Protokoll wurde durch die nicht-verwahrende Natur des Stakings gerettet. Dadurch konnte der Hacker zwar die verpackten Vermögenswerte stehlen und die Liquiditätspools der dezentralen Börse (DEX) beeinträchtigen, nicht aber die zugrunde liegenden Reserven. Verpackte Bitcoins werden häufig in Cold Wallets gespeichert und lassen sich nicht ohne Weiteres wieder in die ursprünglichen Vermögenswerte zurücktauschen.
Bedrock nutzt Babylon Labs und Eigen Layer für sein Belohnungssystem. Diese Protokolle erschließen sicher den Wert von BTC und ETH, ohne die Vermögenswerte direkt Risiken auszusetzen. Das so erzeugte uniBTC kann auch auf Pendle und Velodrome eingesetzt werden, um passive Renditen zu erzielen.
Die meisten Angriffe der letzten Wochen richteten sich gegen Ethereum-basierte DeFi. Der aktuelle Angriff betraf ein Bitcoin-Derivat, das jedoch weiterhin die Ethereum Blockchain für den Großteil der Werttransfers nutzt.
Cryptopolitan Berichterstattung von Hristina Vasileva
