Seit Kryptowährungen boomen, sind sie auch zu einem beliebten Ziel für Betrüger und Cyberkriminelle geworden. Jüngsten Schätzungen zufolge verzeichnen australische Anleger erhebliche Verluste – Krypto-Betrügereien sind im Land auf dem Vormarsch.

Laut den Statistiken, die von der Australian Competition and Consumer Commission (ACCC) kommuniziert wurden, hat Australien im Jahr 2022 über 242 Millionen AUD durch Krypto-Investitionsbetrug verloren. Die Behörde erhielt über 5300 Berichte. 50% von ihnen haben Verluste gemeldet. Bemerkenswert ist: Das Alter der meisten Opfer liegt zwischen 55 und 65 Jahren.

Wie die Beamten einer großen Polizeibehörde für Finanzkriminalität erklären, setzt die wachsende Zahl von Betrügern auf intelligente und ausgefeilte Strategien, um den Anschein der Echtheit zu erwecken und die Anleger dazu zu bringen, ihr Geld loszuwerden. Die Betrüger wenden sich an Hochstapler, die sich als Prominente oder Beamte ausgeben.

Angesichts der steigenden Zahl von Krypto-Betrügereien hat die australische Bundespolizei (AFP) die Verwendung von Kryptowährungen wie Bitcoin oder Ethereum kritisiert. Die Beamten sehen in digitalen Vermögenswerten eine „aufkommende Bedrohung“. Alle acht Minuten würde heute eine Anzeige wegen Finanzkriminalität eingehen.

Im Gegensatz zu den Zahlen des Vorjahres zeigen die neuesten Erkenntnisse einen Anstieg der Krypto-Verbrechen um satte 36%. Im Jahr 2021 wurden bei Krypto-Finanzdelikten noch „nur“ rund 17,82 Millionen australische Dollar ergaunert.

Da australische Anleger einen hohen Betrag verloren haben, drängen Verbraucherschützer darauf, dass die Banken bei der Verhinderung solcher Vorfälle und der Erstattung von Geld an die Opfer beteiligt werden. Und die Befürworter verlangen nach geänderten Richtlinien.

Die sollen den Banken helfen, die Identität eines Empfängers bei der Überweisung von Geldern sicherzustellen, indem sie den Namen des Akteurs mit einem Bankkonto abgleichen. So ist es im Bericht der Australian Broadcasting Corporation (ABC) vom 08. September formuliert.

Krypto-Betrug bringt die australischen Behörden auf Trab

Als Reaktion auf die Anfrage der Community schlagen die Banken eine weitere Option vor, um solche Probleme anzugehen. Ein großer Teil der Banken im Land verweist beispielsweise auf die Verwendung der PayID-Technologie. Die ermöglicht es den Verbrauchern, die mit einem Konto und der BSB verbundenen Namen zu verifizieren. Obwohl die Bank dies als eine alternative Option ansieht, gilt das System als nicht effizient genug.

Aufgrund der zunehmenden Krypto-Betrügereien, Exploits und Marktabschwünge haben auch die australischen Behörden begonnen, kryptobezogene Plattformen zu untersuchen. Sean Hughes, der Beauftragte der Australian Securities and Investments Commission (ASIC), warnte die Australier am Montag auf einer Konferenz des Governance Institute, dass Investitionen in Kryptowährungen wie Bitcoin, Ethereum oder Altcoins „extrem risikoreich“ seien.

Der ASIC-Beauftragte merkt weiter an:

„Wir wollen in unseren Botschaften an die Verbraucher, die den Markt betreten, sehr klar und eindeutig sein. Wir sind der Meinung, dass Kryptoanlagen sehr volatil, von Natur aus riskant und komplex sind.“

Die australische Bundespolizei (AFP) hat im August zudem eine spezielle Polizeieinheit zur Bekämpfung der Kryptokriminalität gegründet. Die neue Einheit soll Cyberkriminelle aufspüren, die das Finanzsystem umgehen.

   

Source

Сообщение $242 Mio. abgezockt! Ob BTC, ETH oder XRP: Australien wird Hotspot für Krypto-Betrügereien появились сначала на CryptooNow.

Die bekannte Electrum Wallet dient dem Phishing? Ein Hacker erbeutet Millionen, indem er bei arglosen Nutzern eine modifizierte Version der Bitcoin Wallet einschleust. Nun fasst die Polizei den Mann und entdeckt neben einem Teil der Beute auch die Vorgehensweise des Verantwortlichen.

Electrum Wallet Phishing erfolgt durch Fälschungen

Die niederländische Polizei fasst einen 39-Jährigen, der einer unbekannten Anzahl an Personen Geld in Form von Bitcoin entwendete. Um das zu bewerkstelligen, modifizierte der Beschuldigte die bekannte BTC Wallet Electrum.

Electrum ist eine beliebte Wallet, die allein im PlayStore über eine halbe Million mal heruntergeladen wurde. Als quelloffenes Projekt ist die Anwendung leicht modifizierbar. Tatsächlich existieren mehrere beliebte Modifikationen wie ElectrumX.

Der Niederländer aus der Stadt Veenendaal verbreitete eine eigene Version, bei der es sich um Schadsoftware handelt. Dank dieser bekam der Mann Einblick in die Seed Phrase der Nutzer und konnte so Zugriff auf deren Eigentum erlangen.

Bitcoin-Phisher verdient Dutzende Millionen Euro

Nach Erkenntnissen der niederländischen Polizei konnte der Bitcoin-Phisher mehrere Dutzend Millionen Euro auf diese Weise erlangen. Am 6. September konnte man den Verdächtigen in seiner Wohnung festnehmen, da man ihn mit gestohlenen BTC in Verbindung bringen konnte.

Wie genau die Polizei den Täter ausfindig machen konnte, ist bislang unklar. In der Vergangenheit löste man ähnliche Fälle oft, da die Täter an irgendeiner Stelle empfindliche Daten preisgaben – etwa durch ein identifiziertes Konto auf einer Krypto-Börse, eine dort entblösste IP-Adresse oder durch eine E-Mail-Adresse, die zum Klarnamen führte.

Durch den Polizeieinsatz erlangten die Behörden Zugriff auf mehrere Datenträger des Mannes und konnten so einen Teil der Beute sicherstellen.

Hacker wäscht Geld mit Bisq und Monero

Um seine Beute überhaupt nutzbar zu machen, verwendete der Täter die dezentralisierte P2P-Börse Bisq. Dort tauschte er seine Bitcoin gegen den Privacy Coin Monero ein, den er dann wiederum in Fiatgeld eintauschte.

Anders als Bitcoin verfügt Monero über keine transparente Blockchain. Die gesteigerte Privatsphäre von Monero soll der Mann verwendet haben, um Euro zu erhalten und trotz der illegalen Herkunft der Gelder unentdeckt zu bleiben.

Der Tatverdächtige muss eine Strafverfolgung wegen Phishings und Geldwäscherei befürchten. Seit dem 8. September befindet er sich vorerst auf freiem Fuss. Fluchtgefahr besteht demnach nicht.

   

Source

Сообщение Electrum Wallet Phishing: Hacker erbeutet Millionen появились сначала на CryptooNow.

Der Hype um den Merge ist für Betrüger ein attraktives Umfeld. Sie nutzen verifizierte Twitter-Konten und geben sich als der Ethereum-Mitbegründer Vitalik Buterin aus, um Investoren zu täuschen.

Prominente Unternehmer, darunter auch Elon Musk, haben mehrfach auf das größte Problem von Twitter hingewiesen, nämlich Bots. Allerdings sind die Betrüger nun auch immer cleverer geworden und verwenden nun auch verifizierte Profile.

Verifizierte Fake-Profile von Vitalik Buterin, die Phishing-Angriffe durchführen. Quelle: Twitter

Cointelegraph hat mehr als sechs verifizierte Twitter-Konten entdeckt, die Buterins Profilbild, Namen und Profilbeschreibung kopiert haben. Die Konten haben für gefälschte Ether (ETH)-Werbegeschenke geworben und Investoren dazu verleitet, ihnen Zugang zu ihren Krypto-Wallets zu geben.

Am einfachsten erkennt man Fälschungen, wenn man das Twitter-Handle anschaut. Das ist der Profil-Benutzername. In letzter Zeit haben gefälschte Twitter-Profile sich häufig als Binance-CEO Changpeng Zhao ausgegeben. Elon Musk hat auf dieses Problem öffentlich reagiert.

And 90% of my comments are bots pic.twitter.com/A7RKyNJZoR

— Elon Musk (@elonmusk) September 5, 2022

Manche Betrüger geben sich auch als Ethereum Foundation aus und versuchen, sich Glaubwürdigkeit zu verschaffen. Vor allem bei Bullenläufen und bei wichtigen Ereignissen wie Netzwerk-Upgrades ist es für böswillige Akteure ein Leichtes, Anleger zu täuschen, die in der Regel nicht wissen, dass Betrügereien so häufig vorkommen.

Dieser Artikel dient als Warnung für Krypto-Investoren vor gezielten Betrügereien und Angriffen, durch die sie ihr Geld verlieren könnten.

   

Source

Сообщение Vitalik Buterin: Betrüger kopieren Twitter-Profil des Ethereum-Gründers im Vorfeld des ETH Merge появились сначала на CryptooNow.

Der Ethereum Merge gilt als wichtige Verbesserung des Blockchain-Netzwerks. Doch der Übergang zum Proof-of-Stake macht das Netzwerk theoretisch anfälliger für Angriffe.

Im Gespräch mit Cointelegraph erklärte ein Sicherheitsforscher, dass im Gegensatz zu Proof-of-Work-Systemen (PoW) ein Proof-of-Stake-System (PoS) die Node-Validierer im Voraus darüber informiert, welche Blöcke sie validieren werden, so dass Angriffe geplant werden könnten.

Der Sicherheitsexperte, der anonym bleiben wollte, ist ein Blockchain-Entwickler und Sicherheitsforscher, der an einer Proof-of-Stake-Blockchain arbeitet.

Der Forscher erklärte, dass es theoretisch zu einem Exploit auf der Ethereum-Blockchain nach dem Merge kommen könnte, wenn Validierer zwei aufeinanderfolgende Blöcke zur Validierung aneinanderreihen.

“Wenn man zwei aufeinanderfolgende Blöcke kontrolliert, kann man einen Exploit im Block N beginnen und im Block N+1 beenden, ohne dass ein Arbitrage-Bot dazwischen kommt und den Kurs, den man manipuliert hat, festlegt.”

“Betrachtet man die wirtschaftliche Sicherheit, macht diese Schwachstelle derartige Angriffe relativ leicht.”

Der Experte sagte, es sei zwar auch für Miner möglich, aufeinanderfolgende Blöcke in PoW-Netzwerken zu validieren, dies sei aber “reines Glück” und lasse dem Miner keine Zeit, einen Angriff zu planen.

Daher erklärt der Sicherheitsforscher, dass Ethereum ein wenig unsicherer wird, wenn der Merge in Kraft tritt:

“Aktuell bietet der Ethereum Proof-of-Work gegenüber dem Ethereum Proof-of-Stake eine stärkere Sicherheit und wirtschaftliche Garantien.”

“Aber davon abgesehen ist der Proof-of-Stake praktisch noch ausreichend sicher und es spielt keine Rolle, dass der theoretisch nicht so sicher ist wie Proof-of-Work. Es ist immer noch ein sehr sicheres System”, wie er hinzufügte.

Der Sicherheitsexperte sagte außerdem, “Ethereum arbeitet daran, das Problem mit den aufeinanderfolgenden Blöcken zu lösen.

Dieses Problem ist zwar schwer zu lösen, aber wenn das gelingt, wird der Proof-of-Stake sicherer, da diese Schwachstelle dann abgedeckt ist.”

Ethereum-Validatoren droht im PoS ein sogenanntes Slashing. Die Konsensregeln wurden so gestaltet, dass sie einen wirtschaftlichen Anreiz für Validatoren bieten, Transaktionen korrekt zu validieren. Ein schlechtes Verhalten wird mit einer Kürzung ihrer gestakten ETH bestraft.

Der Ethereum Merge soll laut dem Ethereum Merge Countdown von Blocknative am 15. September stattfinden. Der Übergang zum PoS soll das Ethereum-Netzwerk skalierbarer und energieeffizienter machen.

   

Source

Сообщение Ethereum Merge macht Netzwerkanfälliger für Angriffe: Sicherheitsexperte warnt появились сначала на CryptooNow.

Während Hacker versuchen, ihre Gelder möglichst unerkannt zu bewegen, agieren Blockchain-Analysten als ihre Gegenspieler. Die berüchtigte Lazarus Gruppe entwischte ihren Verfolgern immer – bislang. Nun wendet sich das Blatt. Erstmals ertappt Chainalysis die Angreifer und führt zur Beschlagnahme von umgerechnet 30 Millionen US-Dollar.

Lazarus Gruppe verliert 10% des Ronin-Hacks

Die erfolgreichsten Hacker der Kryptobranche kommen aus Nordkorea – zu diesem Ergebnis kamen US-Behörden nach wiederholten schweren Vorfällen, durch die hunderte Millionen US-Dollar entwendet werden konnten.

Lesetipp: Ronin-Hack: 600 Millionen USD gestohlen – Steckt Nordkorea dahinter?

Nach derzeitigen Erkenntnissen konnte eine einzelne Gruppe allein im Jahr 2022 über eine Milliarde US-Dollar durch Hacks der Kryptobranche erbeuten. Besonders beliebt sind Ziele im Bereich DeFi. Die nordkoreanischen Hacker sind unter dem Namen Lazarus bekannt.

Ein Hack der Ronin Bridge im Frühjahr brachte der staatlichen Organisation Gewinne im Wert von über 600 Millionen US-Dollar ein. Damals erlangen die Angreifer Zugriff auf Mengen von Ethereum und USD Coin.

Nun ist bekannt, dass zehn Prozent der Beute nicht mehr in der Hand der Hacker sind. Durch die Arbeit von Chainalysis und die Intervention seitens Krypto-Unternehmen und Behörden, gelang die Beschlagnahme von 30 Millionen US-Dollar in Form von Kryptowährungen.

Die Beute blieb von einem Wertverlust durch den Bärenmarkt nicht verschont. Dass dieses Ergebnis erreicht werden konnte, wertet Chainalysis als riesigen Meilenstein. Nie zuvor konnte man Gelder der Lazarus Gruppe konfiszieren.

Wie wäscht Lazarus Kryptowährungen?

Aus einem Bericht von Chainalysis gehen die exakten Schritte vor, die Lazarus bislang verwendete, um die erbeuteten Kryptowährungen zu waschen und sie daraufhin unbemerkt als Hehlerware zu verkaufen.

So verwendete man zuerst einen Krypto-Mixer wie Blender.io oder Tornado.Cash. Anschliessend verwandelte man die Beute in Bitcoin und diese wiederum in Fiatwährungen. Zwischendurch nutzte man immer wieder Krypto-Wallets als Zwischenstationen.

Insgesamt kamen nach dem Hack der Ronin Bridge ganze 12.000 verschiedene Wallet-Adressen zum Einsatz.

Sanktionen gegen Krypto-Mixer zeigen Wirkung

Der zentralisierte Bitcoin-Mixer Blender.io ging als erster sanktionierter Dienst seiner Art in die Geschichte ein. Seine Nutzung gehörte zuvor zum Standardrepertoire der Hacker von Lazarus. Vor wenigen Wochen intervenieren die USA schliesslich auch gegen Tornado.Cash – ein weitere Dienst, den Lazarus liebte.

Doch im Gegensatz zu Blender geht Tornado.Cash nicht offline. Der dienst fungiert als Smart Contract der Ethereum-Blockchain vollkommen dezentral. Dennoch weicht Lazarus von dessen Nutzung ab.

Möglicherweise befürchten die Hacker die Integration eines Werkzeugs für Blockchain-Analyse und eine daraus resultierende Beschlagnahme ihrer Gelder. Dass derlei Optionen theoretisch bestehen, bislang in der Praxis jedoch keine Anwendung finden, legt CoinPro erst kürzlich dar.

Seitdem Tornado.Cash Ziel von Sanktionen ist, verzichtet Lazarus auf dessen Nutzung. Stattdessen sendet man die Beute lieber an DeFi-Anwendungen, die einen Chain-Hop ermöglichen. Dort tauscht man die spezifischen Kryptowährungen in jeweils andere um.

Wie wurde Chainalysis Lazarus habhaft?

Chainalysis gibt nur sehr spärlich Informationen über den Erfolg bekannt. Geglückt sei die monatelange Verfolgung durch ihre fortschrittliche Rückverfolgungstechnologie.

Fundamental für den Erfolg dieser Unternehmungen sei die Transparenz einer Blockchain. Die Geldwäscherei der Beute vom Ronin Hack zieht sich bereits über viele Monate und schliesst neben Ethereum Chain-Hops zu BNB und BitTorrent ein.

Blockchains sind üblicherweise transparent. Nur Privacy Coins verfügen über vertrauliche Versionen.

   

Source

Сообщение Chainalysis ertappt Lazarus Gruppe auf frischer Tat появились сначала на CryptooNow.

Die Metaverse-Plattform The Sandbox hat festgestellt, dass ihr Instagram-Profil gehackt wurden. Über dieses wurde versucht, Bored Ape Yacht Club NFTs von mehreren Nutzern auf der Social-Media-Plattform zu mieten.

Das Profil der NFT-Plattform wurde am Donnerstag gehackt. Die Angreifer haben dabei für eine Fake-Verlosung beworben, bei der ahnungslose Nutzern angeblich ein LAND aus der 4. Staffel gewinnen konnten.

Das Unternehmen erklärte, seine Zwei-Faktor-Authentifizierung und andere Sicherheitsmaßnahmen seien umgangen worden, um diese Fake-Verlosung zu bewerben. Die Webseiten-URL des Profils wurde geändert und ein Nutzer behauptete, er habe NFTs verloren, als er auf den gefälschten Link geklickt hatte.

Auf der gefälschten Webseite wurden Nutzer dazu aufgefordert, ihre Web-Wallets zu verbinden, um bei diesem betrügerischen Gewinnspiel mitmachen zu können.

Sebastien Borget, der Mitbegründer und Chief Operating Officer von Sandbox sagte weiter, die Hacker hätten eine Reihe von Nutzern auf Instagram mit Profilbildern von Bored Ape Yacht Club angesprochen, um ihre NFTs zu “mieten”. Sie boten 40 Ether (ETH), um die BAYC-NFTs für 24 Stunden nutzen zu dürfen.

Instagram account recovered. The hacker tried to rent Bored Apes Yacht Club NFTs – using our account. We would NEVER ask via DM and have contacted all users to notify them. https://t.co/1DRFR3JlIq pic.twitter.com/CKQWfVBTNF

— Sebastien (@borgetsebastien) September 8, 2022

Laut Borget konnte The Sandbox einige Stunden später wieder die Kontrolle über sein Instagram-Konto erlangen. Die Posts, in denen für die gefälschte Werbeaktion geworben wurde, waren bei Redaktionsschluss immer noch zu sehen.

Die NFT-betriebene Metaverse-Plattform hat seit ihrem Alpha-Start im November 2021 mit vielen großen Marken und Prominenten zusammengearbeitet. Paris Hilton und Snoop Dogg haben mit der Plattform bereits zusammengearbeitet. Auch große Marken wie Adidas haben NFTs-Kleidungsstücke auf den Markt gebracht, die auf The Sandbox und anderen Metaverse-Plattformen herauskamen.

Das Sandbox-Team teilte Cointelegraph mit, es arbeite mit dem Sicherheitsteam von Instagram zusammen, um eine Sicherheitsüberprüfung und ein Audit zu dem Vorfall durchzuführen. Das Team wollte sich nicht weiter äußern, bis mehr Details bekannt sind.

Von dem Vorfall betroffene Nutzer können sich über den Support-Kanal von The Sandbox per E-Mail an support@sandbox.game wenden.

   

Source

Сообщение Instagram-Konto von The Sandbox gehackt: Sie wollten BAYC-NFTs mieten появились сначала на CryptooNow.

Während Apple das neue iPhone 14 ankündigte, nutzten einige Krypto-Scammer die Gunst der Stunde und streamten gefälschte Videos auf YouTube.

• Während der gestrigen Apple Produktvorstellung liefen zeitgleich mehrere Betrugsvideos auf YouTube, die Krypto-Belohnungen versprachen. Das berichtete das US-amerikanische Tech-Portal The Verge.
• Die Scammer nutzten offenbar die große Aufmerksamkeit, die dem Technikgiganten mit der Ankündigung des iPhone 14 zuteilwurde.
• Demnach streamte jemand beispielsweise ein altes Interview des CEOs Tim Cook mit CNN, in dem er über Kryptowährungen sprach.
• Andere Videos zeigten Cook und Tesla-CEO Elon Musk, die angeblich über Apple und das Metaverse sprachen.
• Dass der Stream eine Fälschung war, sei aber offensichtlich gewesen. Es hatte dem Bericht zufolge “einen seltsamen Titel”: “Apple Event Live. CEO von Apple Tim Cook: Apple & Metaverse im Jahr 2022.”
• Zwischenzeitlich seien die Zuschauerzahlen auf mehr als 10.000 gestiegen. Zum Vergleich: die echte Ankündigung wurde mittlerweile knapp 22.4 Millionen Mal aufgerufen.
• Krypto-Scams werden derzeit leider immer beliebter. BTC-ECHO berichtete.

   

Source

Сообщение Apple: iPhone-Ankündigung lockt Krypto-Scammer an появились сначала на CryptooNow.

Kim Jong-uns Schattenkrieger finden in der Hacker-Gruppe Lazarus zusammen. Die erbeuteten Gelder sollen dabei in die Massenvernichtungswaffen des nordkoreanischen Diktators fließen.

Bereits vor drei Jahren schlugen die Vereinten Nationen in einem Bericht den Alarm: Die nordkoreanische Hackergruppe Lazarus finanziere mit ihren Cyberattacken das Atomwaffenprogramm ihres Diktators Kim Jong-Un mit hunderten Millionen US-Dollar jährlich.

Schon seit über zehn Jahren treiben die Cyberkrieger ihr Unwesen auf der ganzen Welt. Ihre ersten Angriffe reichen zurück bis ins Jahr 2009. Neben Konzernen, Banken und ganzen Staaten geriet zuletzt auch der Krypto-Sektor verstärkt ins Visier der nordkoreanischen Schattenarmee.

Der böse Geist im Internet

Laut dem FBI ist Lazarus für den bisher schlimmsten Hack der DeFi-Geschichte verantwortlich. Dabei wurden über 625 Millionen US-Dollar gestohlen. Auch hinter der kürzlichen 100-Millionen-US-Dollar-Attacke auf die Krypto-Plattform Harmony stecken Kim Jong-Uns Krieger. Bei beiden Hacks attackierten sie dieselbe Schwachstelle, die Brücke des Protokolls. Sie ermöglicht den einfachen Tausch von Kryptowährungen. Und wird immer öfter zum Angriffsziel von Hackern.

Im aktuellen BTC-ECHO Magazin analysiert die österreichische Blockchain-Sicherheitsfirma Foreus, wie Lazarus bei ihren Schreckenstaten im Internet vorgehen. Die Cyberforensiker rekonstruieren, wie die Hacker eine Zentralbank in Bangladesch ausraubten und ihre Beute mit sogenannten Krypto-Mixer waschen. Außerdem zeigen sie: So helfen Blockchain-Analysen bei der Strafverfolgung.

Das Ergebnis aus der Zusammenarbeit zwischen Foreus und BTC-ECHO sind etwa 10.000 Seiten mit Transaktionsdaten. Sie werden zur Aufklärung auch an betroffene Börsen weitergeleitet.

   

Source

Сообщение Kim Jong-un: Wie seine Hacker-Armee Lazarus Krypto-Gelder klaut появились сначала на CryptooNow.

Nereus Finance, eine DeFi-Staking-Plattform auf Avalanche wurde Opfer eines Flash-Arbitrage-Angriffs, bei dem der Angreifer laut einem Bericht von CertiKJ USDC-Stablecoin im Wert von 370.000 USD ergattern konnte.

On-Chain-Daten von Snowtrace zeigen, dass der Angreifer den Exploit mit einem Flash-Darlehen in Höhe von 51 Millionen USD gestartet hat. Die Gelder wurden dafür genutzt, um einen Flash-Darlehen-Angriff durchzuführen, der die Token-Preisgestaltung auf Nereus manipulierte.

Der Angreifer zahlte das Darlehen in Höhe von 51 Millionen USD zurück, hatte aber nach Beendigung des Arbitragehandels immer noch 370.000 USD in USDC.

Der Angreifer überbrückte daraufhin die Gelder von der Avalanche-Blockchain zum Ethereum-Netzwerk. Überbrücken in Krypto bezeichnet die Übertragung von Token über verschiedene Blockchains hinweg.

Die überbrückten Gelder wurden dann in 194 ETH (310.000 USD) und 15.800 DAI (15.800 USD) getauscht und dann unter dieser Adresse aufbewahrt, die auch mit der Adresse des Angreifers auf Avalanche übereinstimmt.

Zum Zeitpunkt der Veröffentlichung sind an dieser Adresse nur noch rund 14 ETH und jeweils 15.800 DAI übrig. Der Angreifer transferierte 180 ETH an vier verschiedene Adressen. Diese Gelder wurden alle in Free Float verschoben, eine Krypto-Börse im Lightning Network, was wahrscheinlich den Versuch des Arbitrageurs signalisiert, den Gewinn auszuzahlen.

Exploits für Flash-Kredite sind nach wie vor ein großer Schmerzpunkt für DeFi-Protokolle. Das US Federal Bureau of Investigation erklärte im August, dass Flash-Darlehen und Exploits zur Preismanipulation zu einigen der Risikofaktoren für DeFi-Benutzer gehören.

   

Source

Сообщение Avalange: Angreifer erzielt Gewinn von 370.000 USD über Flash-Darlehenarbitrage появились сначала на CryptooNow.

Die führende Kryptobörse KuCoin mit Sitz auf den Seychellen hat auf Fehler im Vorschlag zur Behebung der Sicherheitslücke im DeFi-Netzwerk Acala aufmerksam gemacht. In diesem Vorschlag geht es um eine Lösung, mit der das Protokoll ausgegebene aUSD im Wert von mehreren Milliarden Dollar zurückzuerhalten, wie sie in ihrem Blog mitteilten.

Eine Fehlkonfiguration führte Mitte August zu einem Exploit, nach dem Acalas nativer Stablecoin 99 % seines Wertes und in der Folge auch seine Kopplung an den US-Dollar verlor.

Fehler in der gemeldeten Anzahl der aUSD-Coins

KuCoin hat Fehler in der gemeldeten Anzahl der an die Börse gesendeten und dort gehandelten Coins festgestellt. Auf der Grundlage von Daten aus einer Liste von KuCoins aUSD-Einzahlungsadressen gingen nicht 4,937 Millionen aUSD an KuCoin, sondern fast doppelt so viel, nämlich 8,03 Millionen aUSD.

Der Fehler beim gehandelten Volumen war sogar noch ausgeprägter. Acala meldete, dass eine Million aUSD auf der Plattform gehandelt wurden, während die tatsächliche Zahl 5,3 Millionen aUSD betrug, also mehr als fünfmal so viel.

KuCoin warnt vor den Risiken bei der Umsetzung des Vorschlags

KuCoin schlug der Acala-Community vor, den Vorschlag auf der Grundlage potenziell ungenauer Daten zu überdenken. Der Vorschlag sieht vor, dass fälschlich gemintete aUSD-Token erst eingefroren und anschließend verbrannt werden. Da der Vorschlag aber eine falsche Menge an solchen Coins enthält, könnte seine Umsetzung Acala-Nutzern und dem aUSD-Token selbst “enormen Schaden” anrichten, findet die führende Börse.

Das Team der Börse schrieb im Blogbeitrag:

In Anbetracht des erheblichen Unterschieds in der Menge der fälschlich geminteten aUSD-Coins, sollte die Acala-Community den aktuellen Vorschlag zusammen mit der Acala Foundation überdenken.

Was eigentlich passierte

Mitte August wurde eine Schwachstelle im Acala-Protokoll festgestellt, mit deren Hilfe Nutzer aUSD-Stablecoins im Wert von mehr als 3 Milliarden US-Dollar prägen konnten.

Acala (ACA) war darauf ausgerichtet, Belohnungen für die Bereitstellung von Liquidität zu vergeben. Die Community bot auch Belohnungen in Interlay (INTR) an. Zu dieser Zeit startete Acala auch seinen Crowdsourced iBTC/aUSD Liquiditätspool.

Acala hat 2,97 Milliarden Token zurückerhalten

Nach dem Exploit erstellte die Acala-Community einen Bericht, um verdächtige Überweisungen zurückzuverfolgen und die 16 an dem Angriff beteiligten Wallet-Adressen ausfindig zu machen. Seitdem hat das Netzwerk 2,97 Milliarden der fälschlicherweise geprägten Token zurückerhalten und verbrannt, das sind rund 98 %.

Acala arbeitet noch daran, den Rest der geminteten Token aufzuspüren und zurückzubekommen. Danach soll die DeFi-Plattform ihren Dienste wieder aufnehmen, bisher ist sie weiterhin netzwerkweit inaktiv.

   

Source

Сообщение KuCoin findet Fehler beim Vorschlag zur Behebung des Acala-Exploits появились сначала на CryptooNow.