Kryptowährungen: 90-Millionen-Hack gegen Mirror Protocol monatelang unbemerkt

Der Blockchain-Dienst Mirror Protocol ist wegen Sicherheitslücken wohl gleich zwei Mal ausgeplündert worden. Zum ersten Sicherheitsvorfall kam es im Oktober, als Unbekannte dank einer Schwachstelle Kryptogeld im Wert von fast 90 Millionen US-Dollar abziehen konnten, berichtet der Fachdienst The Block. Das sei über mehrere Monate hinweg aber unbemerkt geblieben. Ein zweiter Fehler wiederum könnte zu Verlusten im Wert von ungefähr 2 Millionen US-Dollar geführt haben, berichtet Coindesk.

Über Mirror Protocol lassen sich mit Kryptoderivaten Wetten auf den Kursverlauf bestimmter Aktien abschließen. Es handelt sich also um einen Dienstleister aus dem Bereich der sogenannten Decentralised Finance, kurz Defi, wo Finanzgeschäfte über Blockchain-Technologie abgewickelt werden. Mirror Protocol dockt dabei an der Terra-Blockchain an, die gerade erst durch den Absturz ihres Stablecoins TerraUSD Schlagzeilen machte.

437 Mal die gleiche ID benutzt

Im Fall der ersten Lücke handelt es sich um eine mangelnde Prüfroutine bei einem Auszahlungsmechanismus von Mirror Protocol. Gedacht war wohl, dass Nutzer eine Sicherheit für ihre Aktienwetten in den Pool eines Smart Contracts einzahlen, wo sie dann nach frühestens 14 Tagen wieder ausgelöst werden kann. Offenbar konnte aber beim Auslöse-Vorgang die vom Smart Contract zugeteilte Auszahlungs-ID wieder und wieder aufgerufen werden – und damit konnten auch die Sicherheitszahlungen anderer Nutzer aus dem Pool abgegriffen werden.

Unbekannte nutzten das im vergangenen Oktober im großen Stil aus, wie Blockchaineinträge zeigen. Wie die Sicherheitsfirma Blocksec schreibt, konnten sie etwa eine der IDs 437 Mal wieder verwenden. Insgesamt stahlen sie laut Bericht von The Block Einheiten des damals noch stabilen TerraUSD-Coin im Wert von rund 90 Millionen US-Dollar.

Dem Anschein nach wurde der massive Diebstahl zunächst von niemandem bemerkt. Die Entwickler von Mirror Protocol hätten den Bug erst Anfang Mai stillschweigend gefixt, heißt es im Bericht. Vergangene Woche machte dann ein in der Terracommunity aktiver Nutzer mit dem Pseudonym "Fatman" via Twitter auf die Lücke aufmerksam. Die Macher von Mirror Protocol gaben bislang keine Stellungnahme zu dem Fall ab.

Im Fall der zweiten Lücke bei Mirror Protocol handelte es sich offenbar um einen Bug in einem sogenannten Oracle. Oracles sind Dienste, die einem Smart Contract Informationen über Sachverhalte außerhalb der Blockchain liefern. In diesem Fall ging es laut Bericht von Coindesk um ein Oracle für Preise des Coins Luna classic (ehemals Luna), das viel zu hohe Kurse ausspuckte. Womöglich wurde der Kurs des nach einem Hard Fork vergangene Woche entstandenen, neuen Lunacoins ausgegeben, der deutlich höher notiert als Luna classic.

Das ermöglichte Unbekannten, mit geringem Einsatz Geld aus Liquiditätspools abzuräumen. Dem Bericht zufolge konnten sie so umgerechnet rund 2 Millionen US-Dollar einstreichen. Auch hier fiel der Fehler wohl erst durch wachsame Mitglieder der Community auf. Unter anderem kursierte die Vermutung, dass die Lücke klaffte, weil Validatoren eine veraltete Softwareversion genutzt hätten.

(axk)