Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 040Smart-Contract-Bug

Alchemix Reverse Rug

Ein Deploy-Skript-Bug erzeugte Phantom-Vaults und lenkte 6,5 Mio. USD Belohnungen um, sodass Nutzerschulden getilgt wurden. Mint in 15 Minuten gestoppt.

Datum
Opfer
Alchemix
Chain(s)
Ethereum
Status
Teilweise zurückerlangt

Am 16. Juni 2021 erlebte das selbstzahlende Kreditprotokoll Alchemix, was als „Reverse Rug Pull" bekannt wurde: Ein Bug im Deploy-Skript ließ etwa 6,5 Millionen US-Dollar an Belohnungsmitteln in den falschen Vault fließen, wo sie versehentlich die alETH-Schulden der Nutzer tilgten. Nutzer konnten dann ihre ETH-Sicherheit ohne Rückzahlung ihres Kredits abheben — sie erhielten Gratisgeld auf Kosten des Protokolls statt umgekehrt. Das Team fror die Mint-Funktion innerhalb von 15 Minuten ein.

Was geschah

Alchemix' Mechanismus: Nutzer hinterlegen ETH (oder andere Sicherheiten), leihen sich dagegen in Form selbstzahlender Tokens wie alETH, und im Laufe der Zeit erzeugen die Yield-Strategien des Protokolls Erträge, die den Kredit automatisch zurückzahlen durch eine „Transmuter"-Belohnungsverteilung.

Der Bug lag nicht in der Lending- oder Reward-Accrual-Logik — beide funktionierten korrekt. Der Bug lag im Deploy-Skript, das den alETH-Vault erstellte. Das Skript erzeugte versehentlich zusätzliche Phantom-Vaults über den beabsichtigten hinaus und platzierte sie im Array der Vaults, über das der Alchemist-Vertrag bei der Verteilung der Transmuter-Belohnungen iterierte.

Als der Vertrag berechnete, welcher Vault jede Belohnung erhalten sollte, verwendete er den falschen Index in das Vault-Array — und leitete Transmuter-Mittel (die im Reward-Pool hätten bleiben sollen) in den alETH-Vault um, wo sie die ausstehenden alETH-Schulden der Nutzer automatisch tilgten.

Für Nutzer mit alETH-Positionen:

  1. Ihre Kredite wurden stillschweigend durch fehlgeleitete Belohnungsmittel abbezahlt.
  2. Der Alchemist-Vertrag registrierte ihre Schuld als erfüllt.
  3. Sie konnten ihre ursprüngliche ETH-Sicherheit abheben, ohne selbst etwas zurückzuzahlen.

Gesamt im betroffenen Fenster: etwa 6,5 Millionen US-Dollar an unbeabsichtigtem Nutzervorteil.

Folgen

  • Das Alchemix-Team identifizierte das Problem und führte 15 Minuten später eine Notfallpause der alETH-Mint-Funktion durch.
  • Eine koordinierte Anstrengung mit Yearn Finance-Ingenieuren erzeugte einen Vertrags-Fix und einen Redeploy-Plan.
  • Das Team veröffentlichte ein detailliertes Post-Mortem und kündigte einen aus Protokolleinnahmen finanzierten Wiederherstellungsplan an.
  • Viele Nutzer, die vom Bug profitiert hatten, gaben den Glücksfall freiwillig zurück, nachdem das Team öffentlich appelliert hatte. Ein nennenswerter Anteil tat es nicht.

Warum es wichtig ist

Der Alchemix-Vorfall ist einer der selteneren DeFi-Fälle, in denen der Verlust zu den Nutzern statt von ihnen floss — ein Gegenbeispiel zum Standardmuster „Smart-Contract-Bug = Angreifer gewinnt". Die strukturelle Lektion ist dieselbe, die sich durch die DeFi-Geschichte zieht: Deploy-Skripte sind Teil des Protokolls, und Bugs in ihnen können wirtschaftlich genauso schädlich sein wie Bugs in den Verträgen selbst.

Spezifische strukturelle Lektionen:

  • Vault-Arrays sollten mit expliziten Assertions zu erwarteter Länge und Inhalt initialisiert werden, wobei der Vertrag das Deployment revertiert, wenn die tatsächlichen Werte nicht übereinstimmen.
  • Post-Deployment-Verifikationsskripte sollten jede Zustandsvariable aufzählen und gegen Erwartungswerte vergleichen, bevor jegliche Nutzerinteraktion zugelassen wird.
  • Die 15-Minuten-Reaktionszeit ist die im Vorfall eingebettete Erfolgsgeschichte: So lange brauchte Alchemix, um das Problem zu identifizieren, zu diagnostizieren und zu pausieren — ein Maßstab, der seitdem zum Mindestwert für ernsthafte DeFi-Protokoll-Reaktionsfähigkeit geworden ist.

Das „Reverse Rug"-Framing wurde auch zu einem wiederkehrenden Meme in der DeFi-Twitter-Sicherheitscommunity: eine nützliche Erinnerung, dass Smart-Contract-Bugs für einzelne Nutzer wirtschaftlich neutral oder sogar positiv sein können, wobei die Kosten von den anderen Stakeholdern des Protokolls statt von denen getragen werden, die den Bug zuerst bemerken.

Quellen & On-Chain-Belege

  1. [01]cryptonews.nethttps://cryptonews.net/news/defi/818795/
  2. [02]coindesk.comhttps://www.coindesk.com/tech/2021/06/16/free-money-bug-hits-defi-platform-alchemix
  3. [03]halborn.comhttps://halborn.com/explained-the-alchemix-reverse-rug-pull-june-2021/

Verwandte Einträge