Indholdsfortegnelse
Milliontyveri inden for få sekunder: Smart Contract-hack hos Radiant Capital
I rekordtid har en kryptotyv ergalet millioner. Kun seks sekunder efter frigivelsen af en ny Smart Contract for en organisation ved navn Radiant Capital, slog gerningsmanden til og uretmæssigt tilbageførte mere end 1900 enheder af kryptokurrencyen Ethereum. Ved tidspunktet for forbrydelsen udgjorde dette cirka 4,5 millioner dollars eller godt fire millioner euro.
Radiant Capital er en decentral autonom organisation (DAO), der beskriver sig selv som “fremtiden for decentral finans” og “DeFi 3.0.” De vil støtte kryptospillere ved at muliggøre tildeling og optagelse af kryptokredit gennem forskellige blockchains og kryptokurrency. I fagsproget refereres dette som cross-chain lending contract. DeFi 1.0 lider af for mange efterlignere, hvilket fører til snart værdiløse kryptomønter.
Takket være “revolutionære ændringer” skulle Radiant v2 gøre alt bedre, lød løftet for et år siden. Den på tirsdag lancerede cross-chain lending contract var imidlertid ikke en revolution, men endnu en efterligning: Radiant Capital genanvendte kode fra de eksisterende krypto-kreditplatforme Aave og Compound.
Räuberischer Rundungsfehler
Dermed pådrog ejerne sig allerede kendt afrundingsfejl. Tyven udnyttede dette, som kryptoanalysefirmaerne Peckshield og Beosin rapporterer. Gerningsmanden fandt en måde at forstørre afrundingsfejlen; på kort tid lånte han gentagne gange meget korte lån (flash loans) og tilbagebetalte dem straks. På grund af afrundingsfejlen forblev der noget tilbage hver gang, så han til sidst kunne kapre ca. 1902,6 Ethereum.
Radiant Capital har midlertidigt nedlagt Smart Contractet, så der ikke længe er mulige handler. Alligevel har tyveriet straks tiltrukket flere svindlere. Disse udgiver sig for at være Radiant Capital og formidler kun antagelig godt mente råd: Dem der har givet Radiant Capital adgang til deres kryptokurrency wallet, bør straks annullere disse tilladelser for ikke at risikere tab. De “hjælpsomme” svindlere lægger straks passende links til hjemmesider, hvor brugerne efter passende godkendelse kan foretage det anbefalede trin. I virkeligheden handler det om phishing. Dem der logger ind der, har tabt.
Imens forsøger de virkelige ejere af Radiant Capital at indlede forhandlinger med den rappe milliontyv. Gennem Ethereum blockchain har de sendt ham dette kærlighedsbrev:
Hej, vi vil gerne høre fra dig angående det fejl du udnyttede i dag. Godt klaret med at finde det! Vi formoder, at du har udnyttet dette som en white eller greyhat (af forskellige årsager), så vi er interesseret i at åbne en kommunikation for at sortere de næste skridt ud. Skriv til os på RadiantBugNegotiation@radiant.capital, så vi kan tale videre. Ser frem til at chatte snart
(ds)
