Curve um 24 Millionen Dollar gehackt: Nur ein Vorbote einer neuen Klasse von Angriffen?

Am Wochenende wurde die DeFi-Plattform Curve Finance gehackt. Der Schaden ist zwar überschaubar. Doch der Hergang macht den Hack äußerst beunruhigend.

Und mal wieder kommt es zu einem Hack, und mal wieder ist eine DeFi-Plattform betroffen: der dezentrale Geldmarkt Curve Finance, eine Plattform, die sich eigentlich dem Ruf erfreut, solide und sicher zu sein.

Doch einem Hacker gelang es am Sonntag, eine Schwachstelle im Code mehrerer Liquiditätspools zu nutzen und insgesamt 24 Millionen Dollar abzuräumen. Es ging dabei um Pools, in denen verschiedene Varianten von Ether ausbalanciert wurden. Es gibt im Ökosystem von Ethereum zahlreiche tokenisierte Ether. In der Regel sind diese in andere Smart Contracts eingebunden, etwa zum Staken oder Verleihen. Indem Curve Finance Liquiditätspools für solche Token anbietet, sorgt es dafür, dass diese stabiler den Kurs von Ethereum abbilden.

Beim aktuellen Hack traf es aIETH, msETH und pETH. Diese tokenisierten Ether sind eher unbedeutend, aber doch groß genug, um dem Hacker einen Anreiz zu geben, einen der mühsamsten Hacks der vergangenen Monate zu fahren.

Ansatzpunkt war ein erst gestern veröffentlichter Fehler in Vyper, einer Programmiersprache für Smart Contracts in Python, ein sogenannter “Zero-Day-Exploit”, der vorher unbekannt war. Betroffen waren einige alte Versionen, am aktuellsten v0.3.0 von Oktober 2021.

Ein Entwickler von Vyper nennt den Hack „besorgniserregend“: „Das ist nichts, was ein typischer Analyst auf dem Schirm hat. Sie haben tief in unseren alten Releases gewühlt, um einen Exploit zu finden, der ein großes Protokoll trifft.“ Der anonyme Entwickler schätzt, dass man dafür Wochen oder Monate gebraucht hat. „Die Ausführung war koordiniert, vielleicht durch eine kleine Gruppe.“ Er spekuliert sogar, dass „staatlich bezahlte Hacker involviert waren, einfach wegen der investierten Ressourcen.“

Immerhin ist die Beute von Hacks erheblich geschrumpft. In Zeiten des DeFi- und NFT-Hypes raubten Hacker dreistellige Millionen-Beträge, wenn nicht sogar wenige Milliarden Dollar. Heute müssen sie sich mehr Mühe geben, um Summen abzugreifen, die man vor zwei Jahren als Peanuts abgetan hätte. Man könnte das erleichtert registrieren. Doch der anonyme Vyper-Entwicklung findet es „beunruhigend“.

„Der Markt hat sich zusammengezogen, weshalb auch die Gelegenheiten für Bugs zurückgehen. Das bedeutet, Hacker suchen nun nach frischen, unberührten Quellen, die sie ausbeuten können. Und ich denke, diese frische, unberührte Quelle sind nun Zero-Days in Compilern für Smart Contracts.“ Rege in Gebrauch sind nur zwei Compiler, Solidity und Vyper, und unter diesen nimmt Vyper nur eine Nischenstellung ein. Es könnte also gut sein, dass da draußen noch viele Smart Contracts sind, die mit alten Solidity-Versionen kompiliert wurden, für die noch 0-Day-Exploits möglich sind.

Oder, anders gesagt: Auf der Ethereum-Blockchain warten noch unzählbare Eisberge auf ihre Titanic. Starke Anreize, diese Eisberge zu entdecken und zu kartographieren, gibt es nicht, da alle damit beschäftigt sind, neue Token und Protokolle aufzusetzen. Außer natürlich die Hacker.