Terra (LUNA) kommt nicht aus den Negativschlagzeilen heraus. Wie sich erst jetzt herausstellt, war dort das DeFi-Protokoll Mirror fehlerhaft programmiert, was Angreifern 90 Millionen US-Dollar Beute ermöglichte.
Das Vertrauen in die Wachstumssparte Decentralized Finances (DeFi) wird wieder einmal durch einen folgenschweren Programmierfehler erschüttert. Dabei geht es diesmal um das Mirror Protokoll, welches unter Terra (LUNA) eine Art Derivathandel auf Tech-Aktien ermöglichte. Doch bei Mirror kam es im Oktober 2021 zu einem nicht-rechtmäßigen Abfluss von umgerechnet 90 Millionen US-Dollar, wie Analyst FatMan auf Twitter darlegt. Seine Recherche wurde mittlerweile auch von dem Krypto-Sicherheitsunternehmen BlocSec per Twitter bestätigt. Mirror selbst kommentierte den Vorfall ebensowenig wie Terra Labs.
Um bei Mirror Positionen aufzubauen, mussten Sicherheiten etwa in LUNA oder dem verknüpften Stablecoin UST hinterlegt werden. Organisiert werden solche Strukturen bei DeFi natürlich über Smart Contracts. Der für Mirror sah vor, dass hinterlegte Garantien erst nach dem Auflösen von Positionen wieder in die eigene Wallet übertragen werden konnten. Soweit, so gut – doch hier kam es zum folgenschweren Fehler. Denn für jeden Abhebevorgang bei Mirror wurde durch den Smart Contract auch eine ID vergeben. FatMan weist nach, dass diese IDs aber bei Mirror nicht wie gedacht nur einmal angewandt werden konnten, sondern beliebig oft funktionierten. Der oder die Angreifer konnten so über kurze Zeit ihr Kapital vervielfachen, wie auch die Blockchain-Daten beweisen.
Mirror hatte den Fehler offenbar Mitte Mai gefixt, dies aber nicht öffentlich kommuniziert. Als Mirror zur Tat schritt, hatte allerdings der freie Fall von Terra und UST schon eingesetzt. Der 90 Millionen Hack bei Mirror kann deshalb nach den bisher vorliegenden Informationen nicht direkt mit dem Terra Crash in Verbindung gebracht werden. BlocSec meint, der Fehler konnte nur deshalb solange unentdeckt bleiben, weil sich die Augen von Analysten auch früher weniger auf Terra als auf die DeFi-Marktführer Ethereum (ETH) und Binance Smart Chain richteten.
Fazit: Fatale Beispiele für DeFi Fehleranfälligkeit
Im März hatten Hacker eine Sicherheitslücke bei der Sidechain Ronin von Axie Infinity (AXS) ausgenutzt und 600 Millionen US-Dollar erbeutet. Hier sollen die Opfer zwar entschädigt werden – aber der Vertrauensverlust bleibt. Jetzt bei Mirror sind die Verantwortlichen auf Tauchstation gegangen und eine Entschädigung wenig wahrscheinlich. Wenn Du in DeFi investierst, sollten Dich die jüngsten Beispiele daran erinnern, dass ein kleiner Fehler bei der technologischen Organisation in den Protokollen zu massiven Verlusten führen kann.
Hinterlasse jetzt einen Kommentar