"We are fucked": Kryptogeldplattform Beanstalk verliert 180 Millionen US-Dollar
Unbekannte haben sich mithilfe eines "Flash-Kredits" für Sekunden eine Mehrheit bei Beanstalk gesichert und sich das gesamte dort liegende Geld überwiesen.
(Bild: mk1one/Shutterstock.com)
Mit Beanstalk ist erneut eine Kryptogeldplattform bestohlen worden, diesmal konnten Unbekannte ungefähr 80 Millionen US-Dollar an sich bringen. Die Betreiber haben den erfolgreichen Angriff bereits eingestanden und einige Details genannt. Demnach haben es die unbekannten Diebe ausgenutzt, dass Nutzer und Nutzerinnen von Beanstalk über Änderungen am Code der Plattform abstimmen können – mit Stimmrechten proportional zum jeweiligen Anteil an der hauseigenen Kryptowährung.
Über einen sogenannten "Flash-Kredit" ("flash loan") haben sich die Diebe für wenige Sekunden genug Anteile gesichert, um sich selbst über eine Codeänderung alles Geld von Beanstalk überweisen zu können. Ein Entwickler der Plattform hat laut Vice eingestanden, "we are fucked" (etwa "wir sind am Arsch").
Beanstalk-Team kann nur noch appellieren
Beanstalk gibt es erst seit wenigen Monaten, die DeFi-Plattform ("Decentralised Finance" für Dezentrales Finanzwesen) umfasst eine eigene Kryptowährung, die durch Einzahlungen der Nutzer und Nutzerinnen stabil gehalten werden soll. Diese Währung heißt "Bean" und über verschiedene Mechanismen soll ihr Wert bei etwa einem US-Dollar gehalten werden. Beanstalk umfasst außerdem einen Mechanismus, über den die Nutzer und Nutzerinnen über Änderungen am Code abstimmen können. Genau den haben die Diebe nun ausgenutzt.
Dafür haben sie sich über einen anderen Kryptogelddienst für wenige Sekunden fast eine Milliarde US-Dollar in verschiedenen Kryptowährungen geliehen, erklärt The Verge. Die haben sie umgehend in Beanstalk investiert, dort eine Zwei-Drittel-Mehrheit erworben und sich alle Einzahlungen im Wert von 180 Millionen US-Dollar überwiesen. Das dürfte weniger als 13 Sekunden gedauert haben. Nach der Rückzahlung des "Flash-Kredits" und der angefallenen Gebühren blieben den Dieben demnach 80 Millionen US-Dollar. Das Beanstalk-Team appelliert jetzt an die, 90 Prozent davon zurückzahlen, den Rest könnten sie behalten. Dass das Erfolg hat, ist zweifelhaft.
Der erfolgreiche Einbruch bei Beanstalk ist jetzt der jüngste Fall in der rasch länger werdenden Liste von Diebeszügen bei Kryptogeldplattformen. So sind allein in diesem Jahr die Kryptokredit-Plattform Cream.Finance um 30 Millionen Euro, die Blockchain-Brücke Wormhole um 300 Millionen US-Dollar und Qubit Finance um 80 Millionen US-Dollar erleichtert worden. Anders als bei diesen Projekten war bei Beanstalk keine Sicherheitslücke nötig. Das hauseigene Protokoll war nicht gegen die kurzzeitige Übernahme einer Mehrheit durch einen Kredit abgesichert worden. Einem Blogeintrag zufolge soll die Plattform abgesichert und weiterbetrieben werden.
(mho)
