Hacker stiehlt 8 Mio. US-Dollar von THORchain und fordert 10 Prozent Bug Bounty

Die Chain-übergreifende dezentrale Börse THORChain hat zum zweiten Mal innerhalb von zwei Wochen einen Hackangriff erlitten, bei dem Ether im Wert von 8 Mio. US-Dollar gestohlen wurden.

Hinter dem Angriff scheint jedoch ein sogenannter White-Hat-Hacker, also ein ethischer Hacker, zu stecken. THORChain erklärte, dass der Täter ein Kopfgeld in Höhe von 10 Prozent forderte. Dienstleistungen im Zusammenhang mit ETH werden ausgesetzt, bis der Code überprüft wurde.

Betroffene Liquiditätsanbieter werden aus den eigenen Mitteln des Projekts subventioniert.

The whitehat requested a 10% bounty - which will be awarded if they reach out, and they should be encouraged to do so.

It is a tough time for the community and project, and the pain is real.

The treasury has the funds to cover, but it's time to slow down.— THORChain (@THORChain) July 23, 2021

Der Austausch - die ist immer noch in der Mitte einer inszenierten beta-Launch namens Chaosnet - eingeräumt, dass die "Komplexität" seiner state machine umfasst THORChain "Archillesferse", jedoch behauptet, dass seine Probleme "gelöst werden können, mit mehr Augen auf, sowie ein Umdenken in der Entwickler-Verfahren und peer-review."

Ein Screenshot aus dem Discord-Forum des Projekts zeigt eine Nachricht aus dem Hack, die über die Transaktionsdaten an das Projekt weitergeleitet wurde.

Der Hacker behauptet, er habe den Schaden durch die Sicherheitslücke absichtlich gering gehalten, um THORChain eine Lektion zu erteilen. Er erklärte dazu: "Überstürzen Sie keinen Code, der 9-stellige Werte steuert" und "Setzen Sie die Dienstleistungen aus, bis die Prüfungen abgeschlossen sind".

Der Hacker fügte hinzu, er hätte Ether, Bitcoin, Binance Coin, Lycancoin und viele BEP-20-Token stehlen können, wenn er gewollt hätte. Er behauptete weiter, dass er "mehrere kritische Probleme" gefunden habe und ein Bug Bounty in Höhe von 10 Prozent den Vorfall hätte verhindern können.

message from hacker... pic.twitter.com/1j8wOPcYHa— zillaQuest!? (@zillaQuest) July 23, 2021

Am 16. Juli berichtete Cointelegraph, dass THORChain seinen Betrieb vorläufig einstellte, nachdem 4.000 Ether im Wert von 7,6 Mio. US-Dollar aus dem Protokoll gestohlen wurden. Das Protokoll schlug dem Hacker ein Kopfgeld für die Rückgabe des gestohlenen Geldes vor, worauf sich dieser allerdings nicht meldete.

In diesem Zusammenhang: Nach Millionen-Diebstahl: ChainSwap kündigt Entschädigung und tiefergehende Prüfung an

Die dezentralisierte Börse hat im vergangenen Monat auch 140.000 US-Dollar durch eine weitere Schwachstelle verloren.

THORChain lancierte im April das "Chaosnet", bei dem Chain-übergreifende Swaps über die Netzwerke von Bitcoin, Ethereum, Litecoin, Bitcoin Cash und Binance Chain ermöglicht werden.