Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 090Oracle-Manipulation

DEUS DAO StableV1 Orakel-Manipulation

DEUS DAO verlor 13,4 Mio. $, nachdem DEI-Collateral aus einem Solidly DEI/USDC-Pool gepreist wurde, den ein Flash-Loan-Angreifer manipulierte.

Datum
Opfer
DEUS Finance
Chain(s)
BNB Chain
Status
Mittel entwendet

Am 28. April 2022 erlitt DEUS Finance / DEUS DAO seinen zweiten Exploit des Jahres 2022 — rund 13,4 Millionen $ abgezogen, als ein Angreifer das Preisorakel für DEI, den Stablecoin des Protokolls, manipulierte. DEUS las den Preis aus einem Solidly StableV1 DEI/USDC-Paar, das ein Flash Loan bewegen konnte.

Was geschah

Die Lending-Märkte von DEUS DAO nutzten DEI als Collateral. Das Protokoll preiste DEI aus einem Solidly-Stil StableV1 DEI/USDC-Liquiditätspaar — ein Pool, dessen Spotpreis von jedem mit genügend Kapital manipulierbar ist, was ein Flash Loan kostenlos bereitstellt.

Der Angriff:

  1. Flash-borgte USDC, um die Manipulation zu finanzieren.
  2. Verzerrte das StableV1 DEI/USDC-Paar durch Swaps, drückte den vom Orakel gemeldeten DEI-Preis weit über seinen wahren Wert.
  3. Hinterlegte einen geringen DEI-Betrag als Collateral bei DEUS — zum manipulierten Preis weit höher bewertet als sein realer Wert.
  4. Lieh die ausleihbaren Reserven des Protokolls gegen das aufgeblasene Collateral.
  5. Drehte die Paar-Manipulation zurück, zahlte den Flash Loan zurück und verschwand mit rund 13,4 Mio. $.

Dies war DEUS DAOs zweiter Vorfall 2022 — ein früherer Exploit im März 2022 hatte rund 3 Mio. $ über einen verwandten Orakel-Manipulations-Vektor abgezogen. Das Protokoll hatte seine Orakel-Abhängigkeiten zwischen den Vorfällen nicht ausreichend gehärtet.

Folgen

  • DEUS pausierte betroffene Märkte und kündigte Entschädigungspläne an, finanziert über Protokoll-Mechanismen.
  • Der Angreifer wusch über Tornado Cash; keine öffentliche Wiederherstellung.
  • DEUS DAO erlitt einen dritten Exploit im Mai 2023 (6,5 Mio. $) und wurde damit zu einem der am häufigsten exploiteten Protokolle der DeFi-Geschichte.

Warum es wichtig ist

DEUS DAO ist ein eindrucksvoller Fall für die Wiederholungs-Fragilitäts-Dynamik. Drei Exploits 2022-2023, alle mit Orakel-/Preis-Manipulation des DEI-Stablecoins oder verwandter Pools, zeigen die wiederkehrende Beobachtung: Post-Incident-Remediation, die den spezifischen Bug statt der systemischen Ursache adressiert, produziert wiederholte Exploits.

Die systemische Ursache bei DEUS war konstant: Preisermittlung kritischer Collateral aus manipulierbaren On-Chain-Pools. Nach dem März-2022-Vorfall exploitete der April-2022-Vorfall dieselbe Grundschwäche über einen anderen Pool. Nach April tat es der Mai-2023-Vorfall erneut. Jedes Mal scheint das Team den spezifischen Manipulationspfad gepatcht zu haben, statt eine manipulationsresistente Orakel-Architektur umfassend zu übernehmen.

Die Lektion ist die, die der gesamte Katalog immer wieder lehrt: Das Orakel ist die Vertrauensgrenze, und ein Protokoll, das einmal orakel-exploitet wurde und seine Preisfeeds nicht umfassend neu architektiert, wird erneut orakel-exploitet. DEUS DAO ist eine der klarsten Multi-Incident-Illustrationen dafür.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-deus-dao-hack-april-2022
  2. [02]cryptobriefing.comhttps://cryptobriefing.com/defi-hacker-steals-13-4m-deus-finance-attack/
  3. [03]rekt.newshttps://rekt.news/deus-dao-r3kt-two/

Verwandte Einträge