Levyathan Finance Geleakter Owner-Key
Rund 1,5 Mio. $ aus Levyathan Finance auf Fantom abgezogen: Der Deployer-Key des Teams wurde in ein öffentliches Repo geleakt — Angreifer mintete LEV.
- Datum
- Opfer
- Levyathan Finance
- Chain(s)
- Status
- Mittel entwendet
Am 31. Juli 2021 verlor die Fantom-Yield-Farm Levyathan Finance rund 1,5 Millionen $, nachdem der Owner-/Deployer-Private-Key des Teams geleakt wurde — angeblich über ein öffentliches Code-Repository exponiert. Ein Angreifer nutzte ihn, um unbegrenzt LEV zu minten und die Farm zu drainen.
Was geschah
Levyathans Owner-Key wurde unabsichtlich exponiert (in ein öffentliches Repo committet, nach Angaben des Teams). Ein Angreifer fand ihn, übernahm Owner-Privilegien, mintete LEV ohne Limit und drainte die Pools (rund 1,5 Mio. $).
Warum es wichtig ist
Levyathan ist die „Leaked-Key-via-Public-Repo"-Variante der Single-Key-Kompromittierung (RocketSwap ist ihr Server-seitiger Cousin). Es ist die am leichtesten verhinderbare mögliche Instanz: keine Malware, kein Phishing, kein ausgefeilter Gegner — ein Secret in eine öffentliche Source-Control committet und gescraped. Die Operational-Security-These des Katalogs in ihrer schroffsten Form: Die meisten katastrophalen Key-Kompromittierungen sind nicht ausgefeilt; sie sind Hygiene-Versagen — Keys in Repos, Keys auf Dev-Laptops, Keys entschlüsselbar neben ihrem Ciphertext. Die Verteidigung ist keine fortgeschrittene Kryptographie; sie ist es, den Key nicht dort abzulegen, wo die Welt ihn lesen kann.
Quellen & On-Chain-Belege
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-levyathan-finance-hack-july-2021
- [02]rekt.newshttps://rekt.news/levyathan-finance-rekt