Kryptogeld: Millionenbeute nach sechs Sekunden​

In Rekordzeit hat ein Kryptowährungsdieb Millionen ergaunert. Nur sechs Sekunden nach Freigabe eines neuen Smart Contracts einer Organisation namens Radiant Capital hat der Täter zugeschlagen und in Summe mehr als 1.900 Einheiten der Kryptowährung Ethereum regelwidrig abgezogen. Zum Tatzeitpunkt am Dienstag entsprach das ungefähr 4,5 Millionen US-Dollar oder gut vier Millionen Euro.

Radiant Capital ist eine dezentrale autonome Organisation (DAO), die sich als "Zukunft der dezentralen Finanz" und "DeFi 3.0" beschreibt. Sie möchte Kryptozocker unterstützen, indem sie Vergabe und Aufnahme von Kryptowährungskrediten über unterschiedliche Blockchains und Kryptowährungen hinweg ermöglicht. Im Fachjargon heißt das cross-chain lending contract. DeFi 1.0 leide unter zu vielen Nachahmern, daher seien fast alle Kryptomünzen bald wertlos geworden.

Dank "revolutionärer Änderungen" werde Radiant v2 alles besser machen, so das Versprechen vor einem Jahr. Der am Dienstag aufgelegte cross-chain lending contract war dann allerdings keine Revolution, sondern wieder eine Nachahmung: Radiant Capital recyclete Code der bestehenden Krypto-Kreditplattformen Aave und Compound.

Räuberischer Rundungsfehler

Damit handelten sich die Betreiber einen bereits bekannten Rundungsfehler ein. Das nutzte der Dieb aus, wie die Kryptoanalyse-Anbieter Peckshield und Beosin berichten. Der Täter fand einen Weg, den Rundungsfehler zu vervielfachen; in kürzester Zeit nahm er wiederholt sehr kurzfristige Kredite (flash loans) auf und zahlte sie sofort wieder zurück. Durch den Rundungsfehler blieb ihm bei jeder Runde etwas übrig, sodass er schließlich rund 1.902,6 Ethereum erbeuten konnte.

Radiant Capital hat den irreführend bezeichneten Smart Contract erst einmal stillgelegt; damit sind bis auf Weiteres keine weiteren Trades möglich. Dennoch hat der Diebstahl sofort weitere Betrüger angelockt. Diese geben sich als Radiant Capital aus und unterbreiten nur vermeintlich gut gemeinte Ratschläge: Wer Radiant Capital Zugriff auf sein Kryptowährungswallet gewährt habe, solle diese Berechtigungen sofort stornieren, um keine Verluste zu riskieren. "Hilfreicherweise" posten die Betrüger gleich passende Links zu Webseiten, wo die User nach entsprechender Authentifizierung den empfohlenen Schritt setzen können. Tatsächlich handelt es sich um Phishing. Wer sich dort einloggt, hat verloren.

Unterdessen versuchen die echten Betreiber von Radiant Capital, mit dem flinken Millionendieb in Verhandlung zu treten. Über die Ethereum-Blockchain haben sie ihm diesen Liebesbrief geschickt:

Nachricht an den Täter

Hey, we wanted to reach out about the bug you exploited today. Well done on finding it! We're assuming you've did this exploit as a white or greyhat (for various reasons), so are looking to open up comms to sort out the next steps. Shoot us a message at RadiantBugNegotiation@radiant.capital so we can talk further. Looking forward to chatting soon

(ds)