Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 047Bridge-Exploit

THORChain Bifrost Twin-Exploit

13 Mio. $+ aus THORChain in zwei Angriffen binnen einer Woche abgezogen — beide nutzten Fake-Deposit-Lücken in der Bifrost-Ethereum-Bridge im Chaosnet aus.

Datum
Opfer
THORChain
Chain(s)
EthereumBitcoinBNB Chain
Status
Teilweise zurückerlangt

Im Juli 2021 wurde THORChain — das Cross-Chain-Liquiditätsprotokoll, das damals in seiner „Chaosnet"-Launch-Phase betrieb — zweimal in einer Woche für einen kombinierten Verlust von rund 13 Millionen Dollar exploitet. Beide Vorfälle nutzten dieselbe Schwachstellenklasse in seinem Bifrost-Ethereum-Bridge-Modul aus.

Was geschah

THORChains Bifrost-Modul war verantwortlich für die Beobachtung von Einzahlungen auf externen Chains (ETH, BTC, BNB usw.) und das Gutschreiben des Einzahlers auf THORChain. Das Modul enthielt eine Override-Loop, die für Vault-Transfer-Migrationsszenarien gedacht war — niemals unter normalen nutzerseitigen Bedingungen aufzurufen.

Angriff 1 — 16. Juli (~5 Mio. $)

Der Angreifer umhüllte THORChains Ethereum-Router-Vertrag mit seinem eigenen Vertrag, nutzte die Override-Loop, um den an Bifrost gemeldeten msg.value zu manipulieren, und löste das Modul aus, eine 200-ETH-Einzahlung zu registrieren, wenn null ETH tatsächlich gesendet wurden. Sie zogen dann das synthetische Guthaben als echtes ETH aus THORChains Pools ab.

Die ersten Verlustschätzungen liefen bis zu 24 Mio. $ (13.000 ETH), bevor sie progressiv auf rund 4,9 Mio. $ nach unten korrigiert wurden, nachdem die On-Chain-Buchhaltung den tatsächlich extrahierten Wert rekonstruierte.

Angriff 2 — 23. Juli (~8 Mio. $)

Ein separater Angreifer — wahrscheinlich ein unabhängiger Akteur, der den ersten Exploit reverse-engineert hatte — nutzte eine andere Variante desselben Fake-Deposit-Musters auf Bifrost. Diesmal fing das Protokoll den Exploit schneller ab und begrenzte den Verlust auf rund 8 Mio. $ vor dem Pausieren.

Nachwirkungen

  • THORChain pausierte Chaosnet und lieferte Bifrost-Patches.
  • Das Team bot beiden Angreifern 10%-Whitehat-Bounties für die Rückgabe der Mittel an. Der erste Angreifer akzeptierte und gab den Großteil des Verlusts zurück; der zweite gab einen Teilbetrag zurück.
  • Das Protokoll überarbeitete seine Handels-Caps, verlangsamte seinen Chaosnet-Rollout und ging 2022 als deutlich konservativeres System hervor.

Warum es zählt

THORChains Doppel-Juli-Vorfälle verstärkten eine wiederkehrende Lehre über Cross-Chain-Nachrichten-Beobachtung: Die Sicht einer Bridge auf den Zustand externer Chains ist nur so vertrauenswürdig wie der Code, der diese Sicht konstruiert. Jede Funktion im Beobachter-Modul, die von einem Einzahler manipuliert werden kann — selbst Debug-Pfade, Override-Loops oder Migration-Helpers — kann Fake-Gutschriften erzeugen, die der Rest des Protokolls als echte Mittel behandelt. Dasselbe Muster spielte sich in viel größerem Maßstab bei Nomad (2022) und Qubit Finance (2022) ab.

THORChain ist auch eines aus einer kleinen Gruppe mittelgroßer Protokolle, in denen beide Angreifer einen substantiellen Teil des Verlusts zurückgaben — eine Funktion des kleinen, identifizierbaren Teams des Protokolls, aktiver Community-Präsenz und klarer On-Chain-Sichtbarkeit jedes Geldwäscheversuchs.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-thorchain-hack-july-2021
  2. [02]slowmist.medium.comhttps://slowmist.medium.com/slowmist-analysis-of-three-consecutive-attacks-on-thorchain-6223f1c691be
  3. [03]coindesk.comhttps://www.coindesk.com/markets/2021/07/23/blockchain-protocol-thorchain-suffers-8m-hack

Verwandte Einträge