18,4 Mio. $ Rhea Finance Hack über zwei Tage aufgebaut, Post-Mortem enthüllt

• Der Angreifer verbrachte über zwei Tage damit, 423 Wallets und gefälschte Token-Pools zu erstellen, bevor der Angriff erfolgte.
• Ein Fehler im Slippage-Schutz zählte denselben Token-Wert zweimal über aufeinanderfolgende Swap-Schritte hinweg.
• Tether fror 3,29 Millionen US-Dollar USDT direkt im Wallet des Angreifers ein, als die Wiederherstellungsbemühungen begannen.

Rhea Finance veröffentlichte diese Woche eine detaillierte Post-Mortem-Analyse, nachdem 18,4 Millionen US-Dollar bei einem Angriff verloren gingen, den Ermittler als Kombination zweier bekannter DeFi-Angriffsvektoren beschreiben, die zu etwas Neuem zusammengefügt wurden. Sie enthüllten, dass der Angriff nicht in Minuten geschah. Er erforderte zwei Tage Vorbereitung.

Die Vorbereitung

Zwischen dem 13. und 15. April baute der Angreifer still die für den Abfluss benötigte Infrastruktur auf:

• Erstellung eines Ziel-Wallets, das durch Cross-Chain-Transfers finanziert wurde
• Verteilung der Gelder auf 423 einzigartige Intermediär-Wallets in schneller automatisierter Abfolge
• Bereitstellung speziell entwickelter gefälschter Token-Verträge, die keine Standard-Metadaten offenlegten
• Erstellung von acht neuen Handelspools auf Ref Finance, die gefälschte Token gegen USDC, USDT und wNEAR zu künstlich kontrollierten Preisverhältnissen paarten
• Aufbau eines Swap-Routers, der diese gefälschten Pools als Angriffsvektor verband

Als der Angriff am 16. April startete, war die gesamte Infrastruktur vorhanden und wartete.

Wie der Slippage-Trick tatsächlich funktionierte

Die technische Eleganz des Angriffs ist es, die ihn bemerkenswert macht. Die Margin-Trading-Funktion von Rhea Finance umfasst einen Slippage-Schutz, der die erwarteten Outputs über alle Swap-Schritte summiert, um zu überprüfen, ob Nutzer einen fairen Wert erhalten. Der Angreifer fand einen Fehler in der Funktionsweise dieser Berechnung über aufeinanderfolgende Schritte hinweg.

Der Angriff in einfachen Worten:

• Schritt 1: 1.000 USDC werden in 999 AttackerToken mit einem Mindest-Output von 999 umgewandelt
• Schritt 2: 999 AttackerToken werden zurück in 1 USDC mit einem Mindest-Output von 1 umgewandelt
• Slippage-Prüfung sieht: 999 plus 1 ergibt 1.000. Sieht gut aus.
• Realität: Nur 1 USDC wurde zum Protokoll zurückgegeben. Die 999 USDC befinden sich im Pool des Angreifers.

Die Prüfung zählte AttackerToken als finalen Output, ohne zu erkennen, dass er sofort als Input für den nächsten Schritt ausgegeben wurde. Geliehene Gelder wurden in die gefälschten Pools des Angreifers geleitet. Positionen waren sofort weit weniger wert als ihre Schulden, was erzwungene Liquidationen auslöste, die den Reserve-Pool entleerten.

Der nächste Präzedenzfall ist der KyberSwap-Angriff von 2023, der 54,7 Millionen US-Dollar kostete und das gleiche Prinzip verwendete, denselben Wert zweimal über aufeinanderfolgende Operationen hinweg zu zählen.

Aktueller Stand

Ungefähr 9 Millionen US-Dollar der 18,4 Millionen US-Dollar wurden bereits wiederhergestellt oder eingefroren, darunter 3,29 Millionen US-Dollar USDT, die von Tether direkt im Wallet des Angreifers eingefroren wurden. Der Leihvertrag wurde pausiert, während die Wiederherstellungsbemühungen fortgesetzt werden.

Das Near Intents-Team hat angedeutet, dass der Angreifer identifiziert wurde und möglicherweise sogar eine öffentliche Präsenz auf X hat. Eine formelle Nachverfolgung wurde mit zentralisierten Börsen eröffnet, um den Kontoinhaber zu identifizieren.

Die Post-Mortem-Analyse von Rhea Finance enthält die vollständige Angriffschronologie, Transaktions-Hashes und die exakte Zeile des anfälligen Codes. Sie wird als eine der detailliertesten Angriffs-Offenlegungen in der DeFi-Geschichte beschrieben.

Verwandt: Rhea Finance von 7,6 Millionen US-Dollar Angriff nach gefälschtem Token-Pool-Angriff getroffen