Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 137Smart-Contract-Bug

DEUS DAO DEI Stablecoin-Mint

DEUS DAOs dritter Vorfall zog 6,5 Mio. $ über BNB, Arbitrum und Ethereum durch einen Fehler in DEIs burnFrom-/Approval-Logik ab.

Datum
Opfer
DEUS Finance
Chain(s)
BNB ChainArbitrumEthereum
Status
Mittel entwendet

Am 5. Mai 2023 erlitt DEUS Finance / DEUS DAO seinen dritten großen Exploit innerhalb von rund vierzehn Monaten — rund 6,5 Millionen $ abgezogen über BNB Chain, Arbitrum und Ethereum durch einen Fehler in der burnFrom-/Allowance-Logik des DEI-Stablecoin-Contracts.

Was geschah

Der DEI-Stablecoin-Contract von DEUS enthielt eine Schwachstelle im Umgang mit burnFrom und Allowances. Der spezifische Fehler erlaubte es dem Angreifer, das Verhältnis zwischen erfassten Allowances und Guthaben so zu manipulieren, dass er Wert aus dem DEI-Contract und zugehörigen Pools über die drei Chains abziehen konnte, auf denen DEI deployt war.

Der Angriff zog den größten Betrag auf BNB Chain (rund 5,45 Mio. $) ab, mit kleineren Beträgen auf Arbitrum und Ethereum. DEI depeggte stark, als die ungedeckte Extraktion auf den Markt traf.

Dies war definitiv DEUS DAOs dritter Vorfall:

  • März 2022 (rund 3 Mio. $) — Orakel-Manipulation.
  • April 2022 (13,4 Mio. $) — Solidly StableV1 Orakel-Manipulation.
  • Mai 2023 (6,5 Mio. $) — DEI-Contract burnFrom-/Allowance-Fehler.

Folgen

  • DEUS pausierte betroffene Contracts und kündigte (erneut) einen Entschädigungsplan an.
  • DEIs Peg wurde nicht dauerhaft wiederhergestellt; die Glaubwürdigkeit des Protokolls war mit dem dritten Vorfall faktisch erschöpft.
  • Die gestohlenen Gelder wurden über Cross-Chain-Routen und Tornado Cash gewaschen.

Warum es wichtig ist

DEUS DAO ist die klarste Fallstudie für Multi-Incident-Fragilität im Katalog — drei große Exploits über zwei Jahre, jeder über einen anderen spezifischen Mechanismus, aber alle Ausdruck derselben systemischen Realität: ein Team, dessen Post-Incident-Remediation wiederholt den spezifischen Bug statt das systemische Sicherheitsdefizit adressierte.

Die wiederkehrende Lektion aus Wiederholungs-Vorfall-Protokollen (DEUS dreimal, Cream Finance dreimal in 2021, Abracadabra dreimal in 2024-2025, ALEX Lab zweimal) ist konsistent:

Der erste Exploit ist ein Datenpunkt. Der zweite ein Muster. Der dritte ein Urteil. Ein Protokoll, das zweimal exploitet wurde und ein drittes Mal exploitet wird, zeigt, dass seine Sicherheitskultur — nicht irgendein einzelner Bug — das Problem ist; ab diesem Punkt ist anhaltendes Nutzervertrauen empirisch fehl am Platz.

DEUS DAOs Verlauf — Orakel-Bug, Orakel-Bug, Stablecoin-Contract-Bug, jeweils „gefixt", jeweils gefolgt vom nächsten — ist die kanonische Illustration dafür, dass Shipping-Geschwindigkeit ohne entsprechende Sicherheitskultur-Investition eine vorhersehbare Sequenz von Vorfällen produziert, und dass die Bereitschaft des Marktes, nach dem zweiten Vorfall weiter einzuzahlen, eine der wiederkehrenden teuren Irrationalitäten von DeFi ist.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-deus-dao-hack-may-2023
  2. [02]crypto.newshttps://crypto.news/deus-finance-hacked-over-6m-dei-stablecoin-stolen/
  3. [03]rekt.newshttps://rekt.news/deus-dao-r3kt/

Verwandte Einträge