Bitcoin (BTC) en ethereum (ETH) ter waarde van $25 miljoen gestolen in DeFI hack

Er is zojuist $25 miljoen aan bitcoin (BTC) en ether (ETH) gestolen uit wallets van Lendf.me, onderdeel van DForce, een Chinees decentralized finance (DeFi) platform. Dat meldt DeFi Pulse op 19 april na berichtgeving van Twitteraar ChainLinkGod:

Looks like the @LendfMe hacker abused the same reentrancy issues of @tokenlon’s ERC777 $imBTC token which was used yesterday to drain the imBTC/ETH pool on @UniswapProtocol

$25M gone just like that, dust in the wind, be careful out there frens$ETH #DeFi https://t.co/9hDvgo1Hqk pic.twitter.com/j3TktP54Tf

— Zach Rynes | CLG (@ChainLinkGod) April 19, 2020

DForce is naar verluidt meer dan 99% van zijn assets kwijt. Volgens Chinese media Chain News vond de hack afgelopen nacht plaats:

Lendf.me bevestigt dat het zondag om 8.45 uur Beijing-tijd was aangevallen op blocknummer 9899681.

De aanvaller of aanvallers zouden misbruik gemaakt hebben van imBTC, een token op Ethereum die 1:1 gekoppeld is aan bitcoin. De hacker(s) konden naar verluidt de ERC-777 token gebruiken als onderpand om vrijwel gratis de wallets leeg te zuigen.
DForce heeft op het moment van schrijven het nieuws nog niet bevestigd en het is vooralsnog onduidelijk of sommige gebruikers hun geld van het platform konden halen. De website van Lendf.me is momenteel ontoegankelijk.
Robert Leshner, CEO van Compound en Ric Burton van ShellProtocol melden dat de hackers de volle buit te pakken hebben:

You can fork the code of @compoundfinance team

You cannot fork their competence

The dForce team have been rekt pic.twitter.com/89BPlsXqvr

— Ric Burton (@ricburton) April 19, 2020

Leshner beschuldigt het team van Lendf.me dat zij de code van Compound V1 compleet gekopieerd hebben. Volgens Leshner is dat een aanduiding dat het bedrijf niet de capaciteit of de intentie heeft om het systeem goed te beveiligen.

If a project doesn’t have the expertise to develop it’s own smart contracts, and instead steals and redeploys somebody else’s copyrighted code, it’s a sign that they don’t have the capacity or intention to consider security.

Hope developers & users learn from the @LendfMe hack.

— Robert Leshner (@rleshner) April 19, 2020

Vorige maand noemde Lendf.me zichzelf nog “het allergrootste leenplatform dat ondersteund wordt door een aan fiatvaluta gekoppelde stablecoin:”

https://t.co/XwcnxztZnW, the money market of #dForce, is by far the largest fiat-back stablecoin #DeFi lending protocol.

Supporting $USDx, $USDT, $DAI, $USDC, $PAX, $TUSD, $HBTC, $imBTC, $WBTC, $WETH with the most competitive interest rate. pic.twitter.com/c91iCcjzQU

— Lendf.Me (@LendfMe) March 23, 2020

Vorige week ontving DForce nog een investering van $1.5 miljoen van Multicoin Capital, de Huobi exchange en CMB International, een Chinese bank. Begin deze maand maakt hackers $2,3 miljoen buit in een aanval met gijzelsoftware.