18,4 Millionen Dollar Rhea Finance Hack in zwei Tagen gebaut, enthüllt die Obduktion

• Der Angreifer hat über zwei Tage damit verbracht, 423 Wallets und gefälschte Token-Pools vor dem Exploit zu erstellen.
• Der Slippage-Schutzfehler zählte denselben Tokenwert zweimal über aufeinanderfolgende Swap-Schritte hinweg.
• Tether frierte 3,29 Millionen US-Dollar direkt in der Geldbörse des Angreifers ein, als die Wiederherstellungsarbeiten begannen.

Rhea Finance veröffentlichte diese Woche eine detaillierte Obduktion, nachdem sie 18,4 Millionen Dollar bei einem Exploit verloren haben, den Ermittler als Kombination zweier bekannter DeFi-Angriffsvektoren zu etwas Neuem beschreiben. Sie enthüllten , dass der Angriff nicht innerhalb von Minuten stattgefunden hatte. Es dauerte zwei Tage Vorbereitung.

Die Ausgangslage

Zwischen dem 13. und 15. April baute der Angreifer still und leise die für den Abfluss benötigte Infrastruktur auf:

• Erstellte eine subjektive Wallet, die durch Cross-Chain-Transfers finanziert wurde
• Verteilte Gelder über 423 einzigartige Intermediary-Wallets in schneller automatisierter Folge
• Speziell erstellte gefälschte Token-Verträge implementiert, die keine Standardmetadaten offenlegten
• Acht neue Handelspools auf Ref Finance erstellt, bei denen gefälschte Token mit USDC, USDT und wNEAR zu künstlich kontrollierten Preisverhältnissen kombiniert werden
• Ich habe einen Swap-Router gebaut, der diese Fake-Pools als Angriffsvektor verbindet

Als der Exploit am 16. April gestartet wurde, war die gesamte Infrastruktur bereits vorhanden und wartete.

Wie der Rutschtrick tatsächlich funktioniert hat

Die technische Eleganz des Angriffs macht ihn bemerkenswert. Die Margin-Trading-Funktion von Rhea Finance beinhaltet einen Slippage-Schutz, der die erwarteten Ergebnisse über alle Swap-Schritte hinweg zusammenzählt, um sicherzustellen, dass Nutzer den fairen Wert erhalten. Der Angreifer entdeckte einen Fehler in der Funktionsweise dieser Berechnung über aufeinanderfolgende Schritte hinweg.

Der Exploit in klaren Worten:

• Schritt 1: 1.000 USD werden in 999 AttackerToken mit einem Mindestausgang von 999 umgewandelt
• Schritt 2: 999 AttackerToken konvertiert zurück auf 1 USD mit einem Mindestausgang von 1
• Die Rutschkontrolle lautet: 999 plus 1 ergibt 1.000. Sieht gut aus.
• Realität: Nur 1 USDC ist zum Protokoll zurückgekehrt. Die 999 USDC befinden sich im Pool des Angreifers.

Die Prüfung zählte AttackerToken als endgültige Ausgabe, ohne zu erkennen, dass es sofort als Eingabe für den nächsten Schritt ausgegeben wurde. Geliehene Gelder wurden in die gefälschten Pools des Angreifers geleitet. Die Positionen waren sofort weit weniger wert als ihre Schulden, was erzwungene Liquidationen auslöste, die den Reservepool erschöpften.

Der nächstliegende Präzedenzfall ist der KyberSwap-Exploit von 2023, der 54,7 Millionen Dollar kostete, indem man nach demselben Prinzip verwendet, denselben Wert zweimal über aufeinanderfolgende Operationen hinweg zu zählen.

Stand der Dinge

Ungefähr 9 Millionen Dollar der 18,4 Millionen Dollar wurden bereits sichergestellt oder eingefroren, darunter 3,29 Millionen USDT, die von Tether direkt in der Brieftasche des Angreifers eingefroren wurden. Der Kreditvertrag wurde ausgesetzt, während die Wiederherstellungsarbeiten fortgesetzt werden.

Das Near Intents-Team hat angedeutet, dass der Angreifer identifiziert wurde und möglicherweise sogar öffentlich auf X vertreten ist. Eine formelle Rückverfolgung wurde mit zentralen Börsen eröffnet, um den Kontoinhaber zu identifizieren.

Die Nachbelegung von Rhea Finance enthält die vollständige Angriffschronologie, Transaktionshashes und die genaue Zeile des verwundbaren Codes. Es wird als eine der detailliertesten Exploit-Offenlegungen in der Geschichte von DeFi beschrieben.

Verwandt: Rhea Finance von 7,6 Millionen Dollar Exploit nach Fake-Token-Pool-Angriff getroffen