Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 203Reentrancy

Astroport IBC Hooks Wiedereingeführter Bug

Angreifer entzog Astroport auf Terra 6,4 Mio. USD über eine im April gepatchte und im Juni-Upgrade wieder eingeführte IBC-Hooks-Reentrancy. ASTRO fiel 60%.

Datum
Opfer
Astroport
Chain(s)
Terra
Status
Teilweise zurückerlangt

Am 30. Juli 2024 verlor die Cosmos-basierte DEX Astroport — deployt auf Terra (Phoenix) — etwa 6,4 Millionen US-Dollar durch eine Reentrancy-Schwachstelle im IBC-Hooks-Timeout-Callback-Pfad. Die Schwachstelle war im April 2024 identifiziert und gepatcht und dann versehentlich in einem Juni-Upgrade wieder eingeführt worden. Terras Validatoren stoppten die Chain als Reaktion.

Was geschah

Astroports Deposit- und Trade-Flow auf Terra nutzte IBC Hooks — ein Cosmos-Primitiv, das Cross-Chain-Nachrichten erlaubt, die Vertragsausführung auf der empfangenden Chain auszulösen. Speziell, wenn ein IBC-Transfer zu Astroport timeout, behandelte der Timeout-Callback des Protokolls die Rückerstattungslogik.

Die Schwachstelle lebte in diesem Timeout-Callback: Unter spezifischen Bedingungen konnte ein Angreifer Astroports Verträge mitten im Callback re-entrieren und Tokens aus dem Nichts erscheinen lassen — durch Manipulation der Protokoll-Buchhaltung im Fenster, in dem der Timeout verarbeitet wurde, der Zustand aber noch nicht finalisiert war.

Die vollständige Geschichte des Bugs:

  • Identifiziert und gepatcht im April 2024 — Astroports Team hatte das Problem erkannt und einen Fix ausgeliefert.
  • Wiedereingeführt in einem Juni-2024-Upgrade — der Patch wurde unbeabsichtigt zurückgerollt oder überschrieben, als nachfolgende Änderungen gemerged wurden.
  • Ausgenutzt am 30. Juli 2024 — der Angreifer (vermutlich wissend über das historische Problem und auf dessen Wiederauftreten überwachend) entzog etwa 6,4 Mio. USD.

Der Drain umfasste:

  • 60 Millionen ASTRO-Tokens (Astroports nativer Asset)
  • 3,5 Mio. USD USDC
  • 500K USDT
  • 2,7 BTC

Folgen

  • Terra-Validatoren stoppten die Chain innerhalb von Stunden nach öffentlicher Identifizierung des Exploits — dieselbe Notfall-Pause-Fähigkeit ausübend, die zuvor während des ursprünglichen Terra-Kollapses genutzt worden war.
  • Etwa 33 Millionen ASTRO waren vor dem Stopp zu Neutron gebrückt worden; diese wurden anschließend zur Astroport-Treasury beschlagnahmt.
  • 13 Millionen ASTRO wurden gegen ~124.000 axlUSDC getauscht und zu Ethereum gebrückt.
  • 20 Millionen ASTRO, die auf Terra verblieben, wurden blacklisted und unbeweglich gemacht.
  • Die Terra-Adresse des Angreifers wurde von weiteren Transaktionen ausgeschlossen.
  • Die IBC-Hook-Schwachstelle wurde neu gepatcht (diesmal vermutlich mit Regressionstests zur Verhinderung einer erneuten Wiedereinführung).

Warum es wichtig ist

Astroports Vorfall ist einer der saubersten Fälle dafür, warum gepatchte Schwachstellen explizite Regressionstests erfordern. Der April-2024-Fix war zur Zeit klar validiert; das Juni-Upgrade führte neuen Code ein, ohne zu verifizieren, dass die historischen Patches erhalten waren. Das Ergebnis: Eine bekannte Schwachstelle lebte etwa 8 Wochen in der Produktion, bevor sie jemand ausnutzte.

Die strukturellen Lektionen:

  1. Gepatchte Bugs sollten zur permanenten Regressionstest-Suite des Protokolls hinzugefügt werden, nicht nur als einmalige Fixes gelöst werden.
  2. Upgrade-Reviews sollten explizite Verifizierung einschließen, dass zuvor gepatchte Codepfade ihre Patches noch haben.
  3. Öffentliche Schwachstellen-Offenlegungen (selbst nach Patching) erzeugen Angreifer-Bewusstsein — versierte Akteure überwachen Patch-Commit-Historien, um Gelegenheiten zur Ausnutzung von Wiedereinführungen oder verwandten Problemen zu suchen. Die 8-Wochen-Lücke zwischen Juni-Upgrade und Juli-Exploit deutet auf bewusste Überwachung statt Zufall hin.

Die Validator-Halt-Reaktion ist ebenfalls bemerkenswert — Terras kleinerer, koordinierterer Validator-Satz konnte Maßnahmen ergreifen, die auf Ethereum oder Solana nicht möglich wären. Wie bei Cetus auf Sui 2025 ist Chain-Level-Intervention durch Validatoren eine gangbare Verteidigung auf kleineren Chains, aber mit Trade-offs um Dezentralisierung, die die Community von Fall zu Fall akzeptiert (oder nicht).

Quellen & On-Chain-Belege

  1. [01]quillaudits.comhttps://www.quillaudits.com/blog/hack-analysis/astroport-hack
  2. [02]theblock.cohttps://www.theblock.co/post/308440/attacker-exploits-ibc-hooks-vulnerability-to-steal-tokens-on-terra-blockchain
  3. [03]cryptoslate.comhttps://cryptoslate.com/terra-resumes-operations-after-5m-security-breach-triggers-astroport-token-plunge/

Verwandte Einträge