Eine kürzliche Sicherheitslücke hat BetterBank, ein prominentes Web3-Protokoll im dezentralen Finanzsektor (DeFi), erschüttert und zu einem geschätzten Verlust von bis zu 5 Millionen US-Dollar geführt. Der Exploit, der auf unautorisiertes Bonus-Minting durch „Rogue Liquidity Pairs“ zurückzuführen ist, unterstreicht kritische Schwachstellen innerhalb relativ junger DeFi-Anwendungen und hat sowohl den Total Value Locked (TVL) des Protokolls als auch das umfassendere PulseChain-Ökosystem, auf dem es operiert, erheblich beeinträchtigt.
- BetterBank, ein Web3-Protokoll im DeFi-Sektor, wurde Opfer eines Angriffs.
- Es entstand ein geschätzter Verlust von bis zu 5 Millionen US-Dollar.
- Der Exploit erfolgte durch unautorisiertes Bonus-Minting über manipulierte Liquiditätspaare („Rogue Liquidity Pairs“).
- Kritische Schwachstellen in jungen DeFi-Anwendungen werden dadurch offengelegt.
- Die Liquidität (TVL) des Protokolls und das PulseChain-Ökosystem sind stark betroffen.
Detailanalyse des Exploits
Die Schwachstelle im Smart Contract
Der Kern des Angriffs entstand durch einen Designfehler im Smart Contract für Belohnungen von BetterBank. Ursprünglich entwickelt, um die Liquiditätsbereitstellung für den FAVOR-Token zu incentivieren, erlaubte das System Benutzern, Liquiditätspaare gegen praktisch jedes Asset zu erstellen, einschließlich neu geminteter, wertloser Token, ohne ausreichende Überprüfung. Trotz der geringen Qualität oder des nicht existierenden Wertes dieser „Rogue Pairs“ konnte der Exploiter immer noch erhebliche Mengen an ESTEEM-Token als Belohnung minten. Weitere On-Chain-Untersuchungen zeigten, dass der Angreifer die standardmäßige Steuer, die auf Massen-Minting-Belohnungen erhoben wird, geschickt umging, indem er diese externen, nicht verfolgten Liquiditätspaare nutzte.
Audit-Versäumnis und seine Folgen
Das Team von BetterBank hat bestätigt, dass der für die Ausgabe von Belohnungen zuständige Vertrag zwar einem Audit unterzogen wurde, die Prüfung sich jedoch nicht auf die Bewertung der Qualität der FAVOR-Liquiditätsanbieter erstreckte. Dieses Versäumnis führte zu einer kritischen „Low-Hanging Fruit“-Schwachstelle, da es böswilligen Akteuren ermöglichte, das System auszunutzen, indem sie Liquidität von geringem Wert generierten und das Protokoll anschließend durch ungerechtfertigtes Belohnungs-Minting entleerten.
Finanzielle und Reputationsschäden
Auswirkungen auf BetterBank
Die finanziellen Auswirkungen für BetterBank waren erheblich. Einst ein Top-Fünf-DeFi-Protokoll auf PulseChain mit einem Total Value Locked von 30 Millionen US-Dollar, sank die Liquidität der Plattform nach dem Exploit auf etwa 7,96 Millionen US-Dollar. Über den unmittelbaren finanziellen Abfluss hinaus steht das Protokoll nun vor Wochen intensiver Arbeit, um seine Smart Contracts zu reparieren und erhebliche Reputationsschäden zu mindern. Zusätzlich trägt BetterBank derzeit 10,31 Millionen US-Dollar an geliehener Liquidität, was die Wiederherstellungsbemühungen um eine weitere Komplexitätsebene erweitert.
Dominoeffekt im PulseChain-Ökosystem
Die Auswirkungen des Exploits erstreckten sich auf das gesamte PulseChain-Ökosystem, das kürzlich ein Wachstum in seinem DeFi-Sektor verzeichnet hatte, wobei die Liquidität über 300 Millionen US-Dollar wiedererlangt wurde. Pulse- und PulseX-Token, die integraler Bestandteil des Ökosystems der Kette sind, waren ebenfalls betroffen. Nach der BetterBank-Lücke verzeichnete der PulseX-Token einen starken Rückgang und fiel um über 15%. Diese Marktreaktion unterstreicht, wie Schwachstellen in einem Protokoll sich in einem miteinander verbundenen Blockchain-Netzwerk ausbreiten können. Der Preisverfall wurde insbesondere auf CoinGecko verfolgt.
Reaktion des BetterBank-Teams und Ausblick
Als Reaktion auf den Vorfall hat das BetterBank-Team schnell gehandelt, um das Protokoll zu pausieren, und sich verpflichtet, Verluste aus seinen Reserven zu kompensieren. Sie planen, das Belohnungsprogramm für Liquiditätsanbieter mit einem neuen Token-Airdrop und einem vollständig neu gestalteten Smart Contract neu aufzulegen, um die identifizierten Schwachstellen zu beheben. Das Team hat auch versucht, mit dem Hacker zu kommunizieren, indem es eine Nachricht an die Exploit-Adresse sendete, obwohl weder eine Antwort noch ein White-Hat-Vorschlag eingegangen ist. Der Angreifer hat Berichten zufolge 215 ETH auf die Ethereum-Kette verschoben, wodurch die Gelder anfälliger für Mixing oder Swapping werden, während er immer noch etwa 700.000 pDAI hält, die gebridged werden müssen, um nutzbar zu werden.
Ein breiterer Trend: Angriffe auf kleinere DeFi-Anwendungen
Dieser Vorfall ist Teil eines breiteren Trends von Exploits, die auf relativ kleinere DeFi-Anwendungen abzielen, bei denen der Reiz von Nischen-Token es Hackern manchmal erschweren kann, gestohlene Gelder zu verfolgen und zu liquidieren. Solche Angriffe führen jedoch ausnahmslos zu erheblichen Reputations- und Marktpreisverlusten für die betroffenen Protokolle, die oft den letztendlichen finanziellen Gewinn des Hackers übersteigen, selbst wenn die gestohlenen Stablecoins erfolgreich liquidiert werden.
Marcel ist unser Altcoin-Pionier: Schon vor Jahren hat er in Projekte investiert, die heute kaum jemand kennt – und manche, die keiner mehr im Gespräch hat. Seine tiefen technischen Analysen kombiniert er mit unerschütterlichem Humor („HODLen oder weinen?“) und zeigt dir, welche Newcomer-Tokens wirklich Potenzial haben.