DeFi Degens, die von Eminence Exploit hart getroffen wurden, werden teilweise kompensiert

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining


Alles begann mit ein paar Retweets.

Am 28. September hat Andrew Cronje, der Chef von Yearn Finance, Grafikdesigns für ein neues Projekt namens Eminence retweetet. so beschrieben von Cronje als DeFi-Protokoll für ein „Gaming-Multiversum“. Das Spiel ist angeblich ein Spin-off eines Kickstarter-Sammelkartenspiels von 2016 namens Eminence: Xander's Tales, das möglicherweise nicht fungible Token (NFTs) enthält.

Die Retweets enthielten grafische Designs der Wörter "Spartan" und "Marine" (spielerische Anspielungen auf die jeweiligen Moniker, die den Synthetix- und Chainlink-Fanbasen gegeben wurden) und waren ein "Kunst-Teaser", der "alle verschiedenen Clans im Spiel präsentieren" sollte. nach Cronje.

Cronje drückte auf Send auf den Tweet und ging ins Bett. Als er aufwachte, stellte er fest, dass der Tweet anscheinend ein Signal für DeFi-Benutzer war, DAI im Wert von 15 Millionen US-Dollar in das tagelange Protokoll zu stecken, das im Mainnet von Ethereum noch von Cronje und seinem Team getestet wurde . Eminence hatte nicht einmal eine Website, die als Front-End für den Handel verwendet werden konnte. Die ersten Benutzer tauschten stattdessen Token direkt mit den Eminence Smart-Verträgen aus.

In derselben Nacht nutzte ein Benutzer den Code von Eminence und verbrauchte die 15 Millionen US-Dollar. Dann gab derselbe Angreifer rund 8 Millionen US-Dollar an DAI an einen von Cronje kontrollierten Yearn-Smart-Vertrag zurück.

Jetzt, nicht einmal 72 Stunden nach dem Exploit, haben betroffene Benutzer einen Teil ihrer Verluste zurückgegeben.

Der Teppichzug und die anschließende Rettungsaktion sind nicht die ersten ihrer Art in DeFi. Und es stellt sich die Frage: Lernt die DeFi-Community aus ihren Fehlern?

Eminenz "Hack" erklärt

Der Exploit selbst, der nicht einmal ein Hack war, war einfach genug.

Die durch den Yearn Deploy-Smart-Vertrag generierten EMN-Token wurden zunächst über eine Bindungskurve verteilt, ein neuartiges Token-Verteilungsschema, das von einer Handvoll DeFi-Produkten verwendet wird. Diese Bindungskurven sind intelligente Verträge, die Token mit Endbenutzern „tauschen“ und einen im Austausch gegen einen anderen ausgeben.

Für Eminence würden Benutzer DAI in den Smart-Vertrag einzahlen und EMN als Gegenleistung erhalten. Wenn das EMN an den Smart-Vertrag gesendet wird, wird es gebrannt und der Benutzer erhält DAI als Gegenleistung.

Sie können EMN auch gegen 5 andere Token austauschen (eAAVE, eLINK, eYFI, eSNX und eCRV, alle Eminence-verpackten Versionen der beliebten Token mit denselben Tickern). Dies würde das abgelagerte EMN verbrennen. Wenn Sie diese Token umgekehrt in ihre jeweiligen Bonding-Curve-Verträge einzahlen, wird sie verbrannt und Sie erhalten neu geprägtes EMN.

Um diese Verträge auszunutzen, nahm der Angreifer einen Flash-Kredit für 15 Millionen DAI von Uniswap auf und kaufte damit EMN. Dann tauschten und verbrannten sie die Hälfte dieses EMN gegen eAAVE, was den Preis von EMN in die Höhe trieb. Von hier aus tauschten sie den Rest ihres EMN gegen DAI, tauschten ihre eAAVE gegen mehr EMN und tauschten dieses EMN schließlich gegen DAI.

Zu dem Zeitpunkt, als der Angreifer seine Schritte unternahm, hatte bereits jemand EMN-Handelspaare auf Uniswap eingesetzt.

Dieser Vorgang wurde dreimal wiederholt, um dem Hacker 15.015.533 DAI zu sichern. Ein ähnlicher Angriff mit einem Flash-Darlehen wurde im Februar gegen das bZx-Protokoll durchgeführt.

Antwort von Yearn Finance und Umverteilung von Token

Überraschenderweise hatte der Angreifer nach all diesen Bemühungen eine leichte Herzensveränderung: Er überwies 8 Millionen US-Dollar an DAI an einen Yearn Finance-Vertrag, den Cronje umgehend an ein Yearn Multi-Sig schickte.

Eine Handvoll Entwickler, von denen einer an Yearn arbeitet, haben sich eine Möglichkeit ausgedacht, den DAI an Benutzer zu verteilen, die von EMNs Preis betroffen sind, der infolge des Exploits durch den Boden stürzt. Auf DAI lautende Reparationen werden jetzt an Benutzer verteilt, die aus dem Bonding-Curve-Vertrag und Uniswap für EMN handeln.

"Empfang [the DAI tokens] Wir hatten das Gefühl, eine tickende Bombe zu bekommen “, sagte Banteg, ein Kernentwickler von Yearn, gegenüber CoinDesk. Er fügte hinzu, dass das Team schnell daran gearbeitet habe, die Gelder zu verteilen, damit die betroffenen Benutzer nicht unruhig würden.

Banteg ist der Ansicht, dass die meisten betroffenen Benutzer „auf dem Laufenden“ waren, da die Hälfte der Rückerstattung innerhalb von 19 Minuten nach dem Start des Vertriebsvertrags geltend gemacht wurde. Laut Daten, die mit CoinDesk geteilt wurden, müssen nur noch 338.000 USD DAI beansprucht werden.

Das Fiasko wurde durch zwei treibende Kräfte verschärft: Vertrauen und Gier.

In seinen Tweets hat Cronje nie gesagt, dass das Eminence-Protokoll fertig ist. Er erwähnte nicht einmal, wofür das Protokoll war. Aber ein einziger Retweet des Mannes hinter Yearn – dieses DeFi-Einhorn, dessen Preis in diesem Jahr von 31 auf über 43.000 US-Dollar stieg – reichte aus, damit sich Händler in Eminences Token stapeln konnten.

Auf der Suche nach einem weiteren Mondschuss begannen unerschrockene Eminence-Benutzer mit der Interaktion mit dem Protokoll, bevor Cronje ein Signal gab, dass es für Investoren bereit war. Vor diesem Vorfall hat er sogar Vorbehalte getwittert, dass jeder, der seine Protokolle verwendet, mit Vorsicht vorgehen sollte.

Cronje hat seitdem auf Twitter seine Absicht bekundet, seine Arbeit an Eminence fortzusetzen, und hinzugefügt, dass er ungefähr 100 Verträge zu testen hat. Er warnte die DeFi-Gläubigen auch, „auf offizielle Ankündigungen zu warten“, bevor sie sie verwenden.

Dennoch waren einige der betroffenen Händler, die von ihren Verlusten betroffen waren, nicht bereit, Cronje vom Haken zu lassen.

"Warum unfertigen Code auf das zu testende Mainnet stellen?" ein Benutzer mischte sich ein. "Der Vertrag sollte auf testnet sein."

Andere, wie Tom Shaughnessy von Delphi Digital, verteidigt Cronje bekräftigt, dass "es nicht ist [his] Schuld, in die die Leute eintauchen [his] Arbeit, bevor es fertig ist. “

DeFi-Lektionen hart erlernt oder kaum erlernt?

Tatsächlich, sogenannte DeFi-Degens haben den Ruf, auf der Suche nach Gewinnen in intelligente Verträge einzudringen, bevor diese gründlich überprüft werden. Händler haben bereits im August Token im Wert von mehreren hundert Millionen in das Ertragslandwirtschaftsprotokoll Yam Finance eingezahlt, Tage bevor ein Fehler in seinem ungeprüften Code den Preis des Tokens in den Boden trieb.

In jüngerer Zeit haben Händler so viele Token in den damals ungeprüften SushiSwap-Vertrag eingezahlt, dass sein Volumen Uniswap übertraf. Tage später gab der Schöpfer von SushiSwap den Anteil seines Entwicklers an den SUSHI-Token für 13 Millionen US-Dollar an der ETH ab, um die Summe an der ETH nach einem Anfall von Schuldgefühlen an die SushiSwap-Schatzkammer zurückzugeben.

Mit diesem Eminence-Exploit und der zusammenfassenden Rückerstattung, die jetzt in den Büchern stehen, haben DeFi-Händler einen weiteren Grund, nicht überprüfte Protokolle zu missachten. Aber mit der Rückzahlung, die ihre Verluste etwas beruhigt, kann diese Lektion vielleicht vergessen werden, sobald die nächste „große neue Sache“ auftaucht.

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close