Het afgelopen jaar heeft Decentralized Finance (DeFi) een exponentiële groei doorgemaakt met meer dan 4.3 miljoen gebruikers op het moment van schrijven. Het behoeft geen betoog dat er geen tekenen van vertraging zijn, gezien de huidige vraag. Dat gezegd hebbende, speelden hacks, oplichting en soortgelijke illegale activiteiten ook een rol. Hoe ongelukkig het ook klinkt, er zijn enkele veiligheidsrisico's aan verbonden.
Drastische stap(pen)
De miljarden dollars kostende blockchain-gaminggigant Illuvium is momenteel onderwerp van discussie nadat het ten prooi viel aan illegale activiteiten. Hoewel er tot nu toe geen geld in gevaar is gebracht.
Illuvium is een fantasy-gevechtssport in de open wereld die is gebouwd op het Ethereum-netwerk en die tot doel heeft uit te groeien tot de primaire op blockchain gebaseerde sport met een AAA-rating die elementen van gedecentraliseerde financiën (DeFi) en niet-fungibele tokens (NFT) bevat.
Dit is het interessante deel. Na de detectie van een kwetsbaarheid in stakingcontracten heeft Illuvium het volledige geld uit een Uniswap-pool gehaald. Zo voorkom je dat een aanvaller geld kan uitbetalen. Het team tweette:
We hebben een kwetsbaarheid gevonden in onze stakingcontracten en als zodanig heeft de eDAO een tijdelijke pauze ingelast $sILV slaan. De aanvalsvector is gesloten en er zijn geen fondsen in gevaar gebracht. Dit is puur een beschermingsmechanisme voor de DAO. (1/2)
- Illuvium (@illuviumio) 4 januari 2022
De genoemde voorzorgsmaatregel komt niet echt als een verrassing. Zeker gezien de toename van het aantal hacks, exploits en aanvallen in de DeFi-wereld. Maar het obstakel was opgelost. Dat is tenminste wat het team beweert. In de update stond:
“De kwetsbaarheid is opgelost binnen de V2-contracten en we verwachten dat ze binnenkort gelanceerd zullen worden. $ILV houders zullen vóór de grondverkoop de tijd hebben om hun eigendommen op te eisen $sILV. Onze excuses voor het ongemak. Ervoor zorgen dat de DAO wordt beschermd, is onze belangrijkste prioriteit.”
Hier is de betekenis van de bovengenoemde actie. De sILV/ETH Uniswap V3-pool werd in een reeks grote transacties van alle fondsen ontdaan. Het shortte zelfs de handelsprijs van sILV naar $0, zij het tijdelijk.
Verdere analyse
Bij verdere analyse maakte het team samen met de mede-oprichter van het netwerk Aaron Warwick een aantal observaties.
Ten eerste waren dat de gebruikers adviseerde om geen enkele liquiditeit in te kopen. Ook konden aanvallers een deel van het geld stelen. Maar het is momenteel onduidelijk hoeveel sILV de aanvaller als ETH kon uitbetalen voordat het team erin slaagde de voorraad volledig leeg te maken.
Bovendien heeft het team enkele inzichten toegevoegd om gebruikers op de hoogte te stellen van de volgende stappen.
…ze verliezen geen geld door deze aanval. We onderzoeken het probleem en zullen zo snel mogelijk updates blijven geven. Ter herinnering: we kunnen mensen er momenteel niet van weerhouden om in de pool te kopen, maar koop alsjeblieft NIET in de onofficiële sILV-pool. ⚠️ (3/3)
- Illuvium (@illuviumio) 4 januari 2022
Als onderdeel van de laatste waarschuwing wierp het team licht op een belangrijk aspect. Iets om over na te denken voordat je ernaar handelt.
Er zijn oplichters die zich voordoen als het officiële Twitter-account van Illuvium en doen alsof ze hulp bieden. Ons Twitter-account is geverifieerd (controleer op blauw vinkje). Geef nooit uw wachtwoorden of zaadzinnen door en klik nooit op verdachte links. We hebben het account gerapporteerd aan Twitter.
- Illuvium (@illuviumio) 4 januari 2022
Over het geheel genomen zou een gedetailleerd post-mortem de nodige informatie opleveren voor de bovengenoemde hack. Voorlopig heeft ILV, het bestuurstoken van Illuvium, een grote klap gekregen. Het handelde op $990 met een correctie van 4% in 24 uur.
Bron: https://ambcrypto.com/illuvium-takes-measures-to-protect-staked-funds-post-discovery-of-vulnerability/