Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 080Kompromittierung privater Schlüssel

Dego Finance Multi-Chain Key-Kompromittierung

Eine Private-Key-Kompromittierung zog 10 Mio. $ aus Dego Finance auf Ethereum und BNB Chain ab und fegte Pools sowie Wallets mit aktiven Token-Approvals leer.

Datum
Opfer
Dego Finance
Chain(s)
EthereumBNB Chain
Status
Mittel entwendet

Am 10. Februar 2022 verlor das Cross-Chain-NFT- und DeFi-Protokoll Dego Finance rund 10 Millionen $, als ein Angreifer Private Keys kompromittierte, die die Operationen des Protokolls auf Ethereum und BNB Chain kontrollierten. Der Angreifer zog sowohl protokolleigene Liquidität als auch die Wallets von Nutzern ab, die Token-Approvals an Dego-Contracts erteilt hatten.

Was geschah

Dego Finance betrieb NFT- und Yield-Produkte über mehrere Chains hinweg, wobei privilegierte Operationen durch Keys im Signing-System des Teams gesichert waren. Der Angreifer erlangte diese Keys — der konkrete Kompromittierungs-Vektor (Endpoint-Malware, Phishing, Infrastruktur-Breach) wurde nicht öffentlich detailliert.

Mit den Keys in der Hand führte der Angreifer einen zweigleisigen Drain durch:

  1. Protokoll-Liquidität: Direkter Drain der Liquiditätspools des DEGO-Tokens auf Ethereum und BNB Chain.
  2. Nutzer-Approvals: Bei Nutzern, die Dego-Contracts unbegrenzte Token-Approvals erteilt hatten (das Standardmuster für jedes DeFi-Protokoll, das Nutzer-Tokens bewegt), nutzte der Angreifer den kompromittierten privilegierten Zugang, um transferFrom auf den approvten Guthaben dieser Nutzer auf angreifer-kontrollierte Adressen auszuführen.

Der kombinierte Drain über beide Chains summierte sich auf rund 10 Mio. $ in gemischten Assets.

Folgen

  • Dego Finance pausierte den Betrieb und riet allen Nutzern, Token-Approvals an seine Contracts sofort zu widerrufen.
  • Der DEGO-Token fiel stark, als der Markt die Protokoll-Kompromittierung einpreiste.
  • Keine öffentliche Wiederherstellung aus den Wallets des Angreifers; Gelder wurden über Standard-Mixer gewaschen.

Warum es wichtig ist

Der Dego-Finance-Vorfall illustriert das wiederkehrende „kompromittierter Key + Nutzer-Approvals = Doppel-Drain"-Muster, das in der gesamten DeFi-Ära Verluste verursacht hat:

  • Furucombo (Feb. 2021) — Evil-Contract-Delegatecall zog approval-gebende Nutzer ab.
  • Dego Finance (Feb. 2022) — Key-Kompromittierung zog sowohl Protokoll als auch approval-gebende Nutzer ab.
  • Transit Swap (Okt. 2022) — fehlende Validierung erlaubte jedem Aufrufer, Approvals abzuziehen.
  • LI.FI (Juli 2024) — Facet-Bug zog Wallets mit Infinite Approvals ab.

Die strukturelle Lektion, seit Jahren wiederholt: Wenn ein Protokoll Nutzer-Token-Approvals hält, ist eine Kompromittierung seiner privilegierten Keys auch eine Kompromittierung jedes Nutzers, der es approvt hat. Der Blast-Radius einer Key-Kompromittierung ist nicht „die Treasury des Protokolls" — er ist „die Treasury des Protokolls plus die approvten Guthaben jedes approvenden Nutzers."

Die defensiven Antworten — begrenzte Approvals, EIP-2612-Permits mit Ablauf, Per-Transaktions-Approval-Muster und regelmäßige Approval-Revocation-Hygiene — existieren alle, um diesen Blast-Radius zu begrenzen. Moderne Wallets defaulten teils wegen der kumulierten Kosten von Vorfällen wie Dego Finance auf begrenzte Approvals, bei denen Nutzer, die vor langem ein „Unlimited Approve" an ein nicht mehr genutztes Protokoll erteilt hatten, Jahre später abgezogen wurden, als dessen Keys schließlich kompromittiert wurden.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://halborn.com/explained-the-dego-finance-hack-february-2022/
  2. [02]cryptopotato.comhttps://cryptopotato.com/defi-project-dego-finance-hacked-exploiters-reportedly-drain-over-10m/
  3. [03]cryptobriefing.comhttps://cryptobriefing.com/bsc-ethereum-defi-projects-hit-14-4m-hack/

Verwandte Einträge