DeFi platform Value beroofd voor miljoenen via kwetsbaarheid in flash leningen

Foto: BestForBest/Shutterstock

Wederom is een decentralized finance (DeFi) platform beroofd. Value DeFi meldt op 14 november dat $6 miljoen aan cryptocurrency gestolen is uit het project:

The MultiStables vault was the subject of a complex attack that resulted in a net loss of $6M. https://t.co/dnFRa5yPBJ
We are currently working on a postmortem and are exploring ways to mitigate the impact on our users.

— Value DeFi (@value_defi) November 14, 2020

Een hacker had het platform met behulp van een zogenaamde flash lening beroofd. Met flash leningen kunnen gebruikers direct een lening afsluiten, zo lang de fondsen weer onmiddellijk (binnen 1 block) worden teruggestuurd.
De hacker leende maar liefst 80.000 ether (ETH), ter waard van meer dan $36 miljoen, van het Aave protocol:

80.000 eth flashloan on @AaveAave 👀👀 https://t.co/ngnHIoNKpi

— Emilio^ (@The3D_) November 14, 2020

Volgens gegevens van Etherscan heeft de hacker maar liefst $7.4 miljoen aan de stablecoin DAI gestolen van Value DeFi. Hiervan heeft de dief $2 miljoen weer teruggestuurd naar het project, $5,4 miljoen behoudt hij of zij zelf. Ook heeft de hacker het volgende bericht achtergelaten: “ken je flashleningen wel echt?”
Hiermee verwijst de aanvaller naar een inmiddels verwijderde tweet van Value DeFi waarin het bedrijf beweerde dat het platform beveiligd is tegen aanvallen via flash leningen. Programmeur Emiliano Bonassi, medeoprichter van DeFi Italy, ging vast dieper op het voorval in:

This is the complex exploit I’ve ever seen. It used 2 FLASHLOANS, one with @AaveAave (80k ETH) and one using flashswap with @UniswapProtocol (116M DAI).

In the image the steps! pic.twitter.com/nTm2SEgsur

— emiliano.oO ⚡️⛓️ (@emilianobonassi) November 14, 2020

Value DeFi meldt dat slachtoffers een deel van de teruggestuurde DAI zullen ontvangen. Tevens verontschuldigt het bedrijf zich naar haar gebruikers toe:

We aren’t going anywhere and plan to keep building an innovative #DeFi platform accessible to everyone!

— Value DeFi (@value_defi) November 15, 2020

De koers van VALUE heeft hierdoor een enorme klap gevangen. Deze kelderde gisterenavond met meer 20% in minder dan twee uur. Onlangs was het DeFi-project Akropolis ook al doelwit van een dergelijke aanval. Hier werd $2 miljoen aan DAI gestolen.

Kevin Schijven is sinds mei 2018 werkzaam bij Crypto Insiders en vervult daar de rol van (eind)redacteur. Met een achtergrond in ICT en bedrijfskunde, gevolgd door rechten en criminologie aan de Vrije Universiteit, brengt hij een unieke mix van vaardigheden mee. Zijn interesse in cryptocurrency ontstond door de potentie om een bedrijf op te bouwen rond nieuwe technologie. Kevin heeft inmiddels duizenden artikelen geschreven en is gespecialiseerd in het laatste crypto nieuws.