- Die DeFi-Plattform Euler Finance verliert knapp 200 Millionen US-Dollar durch Exploit.
- Euler Finance ist ein Lending und Borrowing Protokoll und wurde wohl mithilfe von Flash Loans angegriffen.
- Angreifer reißen sich 8,7 Mio. USD im Stablecoin DAI, 18,5 Mio. USD in wrapped Bitcoin (WBTC), ganze 135,8 Mio. USD in staked Ethereum (stETH) und weitere 33,8 Mio. USD in Cercles USDC unter den Nagel.
Euler Finance Flash Loan Exploit
Hacker fanden einen Exploit bei Euler Finance, die es ihnen ermöglichte insgesamt 197 Millionen US-Dollar in verschiedenen Assets zu erbeuten. Der Fall wird derzeit von verschiedenen Sicherheitsfirmen und der Strafverfolgungsbehörde untersucht.
Laut einem Sprecher von BlockSec ist die genaue Schwachstelle, die zum Angriff geführt hat, noch nicht gefunden. Es ist aber klar, dass die Angreifer eine Reihe von sechs verschiedenen Flash Loans für ihren Angriff nutzten.
Auch swit.eth hat einen ausführlichen Tweet zu dem Vorfall gemacht und den Angriff Schritt für Schritt analysiert:
Quick explainer of Euler attack as I understand, stealing >$150M. Attacker utilizes abilities to:
— swit.eth #6010 😈🇹🇭🅑💎🐺🚫🐻🌊🐍 (@nomorebear) March 13, 2023
(1) Mint both E (lender) and D (borrow) tokens at once without needing to have assets
(2) Donate to reserve, making you underwater instantly.
A quick 🧵@eulerfinance @peckshield https://t.co/QzXK8rpcH2 pic.twitter.com/tB6gHrlKJM
So erbeuteten die Hacker insgesamt 197 Mio. USD
Hauptproblem laut swit.eth ist, dass das Protokoll von Euler jeweils einen eigenen Token auf der Seite des Verleihenden und des Ausleihenden verwendet. Wenn man also DAI einzahlt, wird dies als eDAI (Darlehensgeber-Token) hinterlegt, wenn man sich DAI leiht, verzeichnet das Protokoll dies als dDAI (Kreditnehmer-Token).
Dazu kommt dann ein zweiter Faktor und das Chaos ist perfekt:
Das Protokoll ermöglicht es, dass man einen Flash Loan als Sicherheit hinterlegt und sich dann die eigenen hinterlegten Werte ausleiht, ohne dass diese tatsächlich existieren.
Auf diese Weise hatten die Angreifer genügend Kapital zur Verfügung, um eine Seite des Token-Paares zu manipulieren, obwohl beide Seiten eigentlich immer gleich viel wert sein sollten.
So konnten sie Unterschiede zwischen den Preisen einer Token-Paarung von 20 Prozent und mehr erreichen und sich selbst die Differenz einstreichen.
Nach diesem Vorgehen haben die Hacker verschiedene Kredite aufgenommen und dann sofort mit einer unverhältnismäßig kleinen Rückzahlung wieder glattgestellt. PackShield, hat eine der DAI Transaktionen genauer untersucht.
Aus der Transaktionshistorie geht hervor, wie die Angreifer einen Flash Loan von 30 Millionen US-Dollar bei Aave aufnahmen und diesen, nach ihren Trades auf Euler, am Ende mit einem Gewinn von 8,8 Millionen US-Dollar wieder zurückzahlten.
Dieses Vorgehen haben die Hacker mutmaßlich bei verschiedenen Token-Pools auf Euler Finance angewendet und so 197 Millionen US-Dollar erbeutet.
Euler Labs selbst twitterte:
Wir sind uns der Situation bewusst und unser Team arbeitet derzeit zusammen mit Sicherheitsexperten und Strafverfolgungsbehörden an dem Fall. Sobald wir weitere Informationen haben, werden wir sie veröffentlichen.
Fazit zum DeFi Exploit von Euler Finance
Der Exploit dürfte das Aus für Euler Finance bedeuteten. Für geschädigte Anleger besteht aus unserer Sicht nur wenig Hoffnung, ihr Geld noch einmal wiederzusehen.
Der Angriff hat dem Protokoll fast die gesamten Assets entzogen, was eine Erholung des Protokolls unwahrscheinlich macht.
Es wird sich zeigen, was die Sicherheitsexperten und Strafverfolgungsbehörden noch ausrichten können, aber wahrscheinlich bleibt es bei einem Learning und Reminder für Anleger.
Sobald Du Deine Assets aus der Hand gibst, sie an einen Smart Contract oder eine dritte Party überträgst, gehst Du in das Risiko, sie zu verlieren. Der DeFi-Space bietet sicher tolle Anlegemöglichkeiten, die möglichen Risiken bei der Benutzung solcher Angebote, lassen sich aber nach wie vor schwer abschätzen.
Also vielleicht lieber etwas vorsichtiger an die Sache ran gehen und investiere, wie in jedem Investment wichtig, nur so viel Geld, wie Du gewillt zu verlieren bist.
