Die auf Polygonen basierende dezentrale Finanzplattform QuickSwap hat ihre Kreditdienste für Benutzer eingestellt, nachdem sie am Montag einen Flash-Darlehens-Exploit für Token im Wert von über 220.000 US-Dollar durchgeführt hatte.
Blockchain-Daten zeigen, dass die Angreifer die Token-Preise manipulierten, indem sie Gelder mit einem Flash-Darlehen – einer Form der unbesicherten Kreditvergabe – liehen und dann die überhöhten Werte als Sicherheit verwendeten, um die gesamte Liquidität aus dem betroffenen QuickSwap-Pool abzuziehen. Gestohlene Token, darunter MATIC, Lidos LDO und gestakete MATIC, wurden am Montagnachmittag gegen andere Token auf dem Privacy Mixer Tornado Cash eingetauscht, wie Daten zeigen.
„QuickSwap Lend schließt“, sagte das Unternehmen in einem Tweet. „$220.000 wurden bei einem Flash-Darlehensangriff aufgrund einer Schwachstelle im Curve Oracle, das @marketxyz nutzte, ausgenutzt.“
Flash-Darlehen werden von einigen dezentralisierten Finanznetzwerken (DeFi) bereitgestellt und verlangen nicht, dass ein Kreditnehmer Sicherheiten hinterlegt, solange das Darlehen in derselben Transaktion zurückgezahlt wird.
Die Token wurden in einer einzigen Transaktion gestohlen, bei der ein Flash-Darlehen-Exploit genutzt wurde. (Polygon-Blockchain-Explorer)
QuickSwap hat den Exploit zunächst auf eine Schwachstelle der Plattform Market XYZ geheftet, die angeblich fehlerhafte Orakel des DeFi-Protokolls Curve und des Stablecoin-Emittenten QiDao verwendet. Oracles sind Dienste, die Daten aus externen Quellen abrufen und Informationen für jedes Blockchain-Netzwerk bereitstellen. QiDao sagte, der Exploit habe nichts mit seinen Smart Contracts zu tun.
Während QuickSwap ankündigte, am Montag ein Update zu dem Exploit zu veröffentlichen, wurden bis zum Redaktionsschluss am Dienstag keine weiteren Informationen veröffentlicht.
Der Angriff ist der jüngste in einer wachsenden Liste von Exploits in diesem Monat, wobei der Oktober bereits der schlimmste Monat aller Zeiten für Krypto-Angriffe ist.
