Millionen gestohlen, da ein Cyberangriff eine Schwachstelle in der Schlüsselkomponente der DeFi-Plattform ausnutzt

Garden Finance, ein Cross-Chain-Bridge-Protokoll, verlor etwa 11 Millionen US-Dollar, nachdem ein kompromittierter Solver Gelder von der Plattform abgezogen hatte.

Das Protokoll sieht eine Prämie von 10 % für die Rückgabe der gestohlenen Gelder vor. Außerdem wird um Hilfe gebeten, um genau zu verstehen, wie es zu dem Exploit kam.

Was ist passiert und warum es wichtig ist

Der Angriff richtete sich gegen den Solver von Garden Finance, im Wesentlichen den Market-Maker-Mechanismus, der kettenübergreifende Transaktionen ermöglicht. Brücken bewegen Vermögenswerte zwischen verschiedenen Blockchains, und Löser sind die Mittelsmänner, die diese Geschäfte abgleichen und ausführen.

Garden Finance gab an, dass Benutzergelder von dem Exploit nicht betroffen waren, was darauf hindeutet, dass die Schwachstelle auf die Betriebsinfrastruktur des Protokolls beschränkt war und nicht auf vom Benutzer hinterlegte Vermögenswerte.

Sicherheitsforscher haben Bedenken geäußert, ob der kompromittierte Löser wirklich ein unabhängiger Dritter oder Teil der eigenen internen Infrastruktur von Garden war. Im letzteren Fall handelte es sich bei der Schwachstelle nicht um einen betrügerischen externen Akteur, der ein erlaubnisloses System ausnutzte, sondern vielmehr um einen Fehler in der Schlüsselverwaltung und Betriebssicherheit des Protokolls.

Viele Bridge-Protokolle sind auf eine kleine Anzahl vertrauenswürdiger Akteure angewiesen, um Nachrichten zwischen Ketten zu überprüfen und weiterzuleiten. Wenn diese Akteure kompromittiert werden, sei es durch Social Engineering, schlechte Schlüsselhygiene oder Insider-Zugriff, kann das gesamte System zusammenbrechen.

Bridges bleiben das schwache Ziel von Kryptowährungen

Sicherheitsanalysten haben wiederholt darauf hingewiesen, dass viele Bridge-Architekturen von Natur aus fragil sind und auf einer schwachen Nachrichtenüberprüfung und einer zentralisierten Schlüsselverwaltung beruhen. Bridges befinden sich an der Schnittstelle mehrerer Vertrauensmodelle, und die Bridge selbst muss diese Unterschiede häufig durch Off-Chain-Relayer oder Multisig-Systeme ausgleichen, die ein Zentralisierungsrisiko mit sich bringen.

Der Garden Finance-Exploit ereignete sich ungefähr zur gleichen Zeit wie ein weiterer Brückenvorfall mit der Ronin Bridge, bei dem 11,33 Millionen US-Dollar durch einen Maximal Extractable Value (MEV)-Bot abgehoben wurden. Sky Mavis, das Unternehmen hinter Ronin, versicherte, dass die Kernreserven der Brücke weiterhin sicher seien.

Die Ronin Bridge war zuvor das Ziel eines der größten DeFi-Exploits aller Zeiten, eines 620-Millionen-Dollar-Diebstahls im Zusammenhang mit nordkoreanischen Hackern, der zu einer Fallstudie dafür wurde, warum die Zentralisierung des Vertrauens in eine kleine Gruppe von Validatoren katastrophale Single Points of Failure schafft. Die Wormhole-Brücke erlitt einen separaten Exploit im Wert von 322 Millionen US-Dollar.

Was das für Anleger bedeutet

Das 10-prozentige Kopfgeldangebot von Garden Finance soll den Angreifer dazu anregen, eine garantierte Auszahlung dem Risiko vorzuziehen, verfolgt oder strafrechtlich verfolgt zu werden. Die Tatsache, dass Garden gleichzeitig um Hilfe beim Verständnis der Ursache des Exploits bittet, deutet darauf hin, dass das Team immer noch daran arbeitet, herauszufinden, was schief gelaufen ist.

Jede Bridge-Interaktion ist eine implizite Wette darauf, dass die Off-Chain-Infrastruktur, die Schlüsselverwaltung und die Smart-Contract-Logik der Bridge unter widrigen Bedingungen gleichzeitig korrekt funktionieren.