Im Fokus Voltage Finance Hacker bewegt 182.000 USD in ETH zu Tornado Cash nach

[MartinTrovalla]

Ein Hacker, der für den 4,67-Millionen-Dollar-Exploit des DeFi-Protokolls Voltage Finance im Jahr 2022 verantwortlich war, hat nach monatelanger Inaktivität einen Teil der gestohlenen Ethereum-Token bewegt. Laut Blockchain-Sicherheitsunternehmen CertiK wurden 100 ETH im Wert von 182.783 USD über den Anonymisierungsdienst Tornado Cash transferiert.

Dormante Hacker-Wallet nach 166 Tagen wieder aktiv
100 ETH (182.783 USD) zu Tornado Cash verschoben
Voltage Finance wurde 2022 und erneut im März 2024 angegriffen

Der Ethereum-Transfer erfolgte von einer Adresse, die mit dem ursprünglichen Exploit von 2022 in Verbindung steht, berichtete CertiK am 6. Mai in einem Beitrag auf X. Die für die Transaktion genutzte Wallet war seit November 2023 inaktiv, mit der letzten Transaktion vor genau 166 Tagen, wie Daten von Etherscan belegen.

Technische Details zum Ursprungs-Exploit
Der Angreifer nutzte im März 2022 eine Schwachstelle in der „Built-in Callback-Funktion“ des ERC677-Token-Standards aus. Diese Sicherheitslücke ermöglichte einen sogenannten Reentrancy-Angriff, durch den der Lending-Pool des Protokolls ausgeplündert werden konnte.

Voltage Finance meldete nach dem Exploit, dass der Hacker verschiedene Stablecoins und andere Kryptowährungen entwendet hatte, darunter USDC, Binance USD (BUSD), Wrapped Bitcoin und Ethereum-Token. Die angegriffene Adresse wurde auf Etherscan markiert, und Börsen wurden aufgefordert, jegliche Transaktionen zu blockieren.

Voltage Finance erneut im Visier
Das DeFi-Protokoll wurde erst kürzlich wieder Ziel eines Angriffs, als am 18. März 2024 seine Simple Staking Pools kompromittiert wurden. Bei diesem Vorfall wurden insgesamt 322.000 USD gestohlen.

„Während wir noch nicht bestätigen konnten, ob er der Hacker ist, haben wir als Vorsichtsmaßnahme sofort seinen Zugang widerrufen und Polizeimeldungen eingereicht, um mit Strafverfolgungsbehörden und zentralisierten Börsen zusammenzuarbeiten“, erklärte Voltage Finance in einem Postmortem vom 20. März zu dem jüngsten Angriff.

Kryptoverluste im April deutlich gestiegen
Die Gesamtverluste im Krypto-Sektor stiegen im April um 1.163 Prozent, wobei der Großteil auf einen einzelnen Diebstahl zurückzuführen ist, bei dem einem älteren US-Bürger durch Social-Engineering-Taktiken 3.520 Bitcoin im Wert von 330,7 Millionen USD gestohlen wurden.

Ohne diesen Angriff beliefen sich die Kryptoverluste im April auf 34 Millionen USD, was immer noch einem Anstieg von 21 Prozent gegenüber März entspricht.

Der Monat brachte jedoch auch positive Nachrichten: Über 18 Millionen USD wurden zurückgegeben, als der Hacker hinter dem 7,5-Millionen-Dollar-Exploit der dezentralen Börse KiloEx alle gestohlenen Gelder nur vier Tage nach dem Angriff zurückerstattete.