Cryptonews

Algorithmische Schwäche erweist sich als kostspielig, da die Krypto-Speicherplattform einem Raubüberfall im Wert von 29.000 US-Dollar zum Opfer fällt

Source
CryptoNewsTrend
Published
Algorithmische Schwäche erweist sich als kostspielig, da die Krypto-Speicherplattform einem Raubüberfall im Wert von 29.000 US-Dollar zum Opfer fällt

Das auf Algorand basierende Datenschutzprotokoll HermesVault hat den Betrieb dauerhaft eingestellt, nachdem eine Sicherheitsverletzung zum Diebstahl von etwa 261.000 $ALGO-Tokens im Wert von etwa 29.466 US-Dollar zum Zeitpunkt des Vorfalls geführt hatte. Die Nachricht wurde vom leitenden Protokollingenieur Giulio Pizzini in einem Beitrag auf X bestätigt, in dem er die technische Natur des Exploits detailliert beschreibt.

Technischer Fehler bei der Auszahlungsüberprüfung

Laut Pizzini blieb der Zero-Knowledge-Schaltkreis (zk), der den Kern des Datenschutzmechanismus von HermesVault bildet, weiterhin sicher. Die Schwachstelle wurde jedoch in der Schutzlogik zum Zurücksetzen des Schlüssels im Auszahlungsüberprüfungsskript gefunden. Dieser Fehler ermöglichte es dem Angreifer, den ZK-Verifizierungsprozess vollständig zu umgehen und ohne entsprechende Autorisierung Geld abzuheben.

Pizzini gab an, dass die Schwachstelle inzwischen behoben wurde und ein erheblicher Teil der gestohlenen Gelder – 230.000 $ ALGO – bereits an das Projekt zurückgegeben wurde. Die verbleibenden 30.000 $ ALGO sind immer noch nicht abgerechnet, aber das Team hat einen Rückerstattungsprozess für betroffene Benutzer eingeleitet.

Rückerstattungsprozess für Opfer

Opfer, die bei den restlichen 30.000 $ ALGO-Diebstahl Geld verloren haben, haben Anspruch auf eine volle Rückerstattung. Um eine Entschädigung zu fordern, müssen Benutzer den Besitz ihrer betroffenen Adresse nachweisen und eine geheime Notiz zu ihrer Transaktion vorlegen. Das Team hat keine konkrete Frist für Rückerstattungsansprüche bekannt gegeben, forderte die Benutzer jedoch auf, umgehend zu handeln.

Auswirkungen auf Datenschutzprotokolle

Der HermesVault-Vorfall unterstreicht die Komplexität der Sicherung datenschutzorientierter DeFi-Protokolle. Während Zero-Knowledge-Proofs weithin als robust gelten, können Implementierungsfehler in der umgebenden Logik – wie z. B. Rückzugsskripte – dennoch kritische Schwachstellen aufdecken. Dieser Fall erinnert daran, dass selbst gut geprüfte ZK-basierte Systeme umfassende Sicherheitsüberprüfungen aller Hilfskomponenten erfordern.

Für das Algorand-Ökosystem könnte die Abschaltung eines wichtigen Datenschutzprotokolls Fragen zur langfristigen Realisierbarkeit von Datenschutzlösungen im Netzwerk aufwerfen, insbesondere da die behördliche Kontrolle anonymer Transaktionen weltweit zunimmt.

Fazit

Die Schließung von HermesVault nach dem $29.000-$ALGO-Hack verdeutlicht die anhaltenden Sicherheitsherausforderungen im dezentralen Finanzwesen. Während das Team schnell reagierte, um den Fehler zu beheben und Rückerstattungen zu veranlassen, hat der Vorfall den Betrieb des Protokolls endgültig beendet. Benutzern mit betroffenen Geldern wird empfohlen, dem offiziellen Rückerstattungsverfahren zu folgen, um ihr Guthaben zurückzugewinnen.

FAQs

F1: Was hat den HermesVault-Hack verursacht? Der Hack nutzte einen Fehler in der Schutzlogik zum Zurücksetzen des Schlüssels des Auszahlungsüberprüfungsskripts aus, nicht im Zero-Knowledge-Schaltkreis selbst. Dies ermöglichte es dem Angreifer, die ZK-Verifizierung zu umgehen und Geld abzuheben.

F2: Wie viel wurde gestohlen und wie viel wurde erstattet? Ungefähr 261.000 $ALGO (29.466 $) wurden gestohlen. Davon wurden 230.000 $ALGO zurückerstattet, so dass noch 30.000 $ALGO ausstehen.

F3: Wie können Opfer eine Rückerstattung für die verbleibenden gestohlenen $ALGO fordern? Opfer müssen den Besitz ihrer betroffenen Adresse nachweisen und eine geheime Notiz zu ihrer Transaktion vorlegen, um eine vollständige Rückerstattung zu erhalten.