Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 182Smart-Contract-Bug

Unizen External-Call-Drain

2,1 Mio. $ aus Unizens DEX-Aggregator abgezogen über eine unsichere External-Call-Schwachstelle in einem jüngsten Upgrade, das Nutzer mit Token-Approvals traf.

Datum
Opfer
Unizen
Chain(s)
Ethereum
Status
Teilweise zurückerlangt

Am 9. März 2024 wurde der Cross-Chain-DEX-Aggregator Unizen für rund 2,1 Millionen Dollar exploitet — entzogen aus Nutzern, die Token-Approvals an einen frisch aktualisierten Vertrag erteilt hatten. Der Bug: Das Upgrade führte eine unsichere External-Call-Schwachstelle im Swap-Pfad ein. (Rekts Leaderboard listet diesen Vorfall mit 21 Mio. $; der verifizierte Verlust über unabhängige Analysen ist 2,1 Mio. $.)

Was geschah

Unizens DEX-Aggregations-Vertrag wurde kurz vor dem Exploit aktualisiert. Das Upgrade führte einen neuen Pfad ein, der beliebige externe Aufrufe während der Swap-Ausführung machte — ohne rigorose Validierung des Aufruf-Ziels oder der Calldata.

Für Nutzer, die Unizens Vertrag Token-Approvals erteilt hatten — typisch für jede DEX-Aggregator-UX — schuf der Bug ein vertrautes Muster: Jeder Aufrufer konnte einen „Swap" konstruieren, dessen zugrunde liegender externer Aufruf ein transferFrom gegen das genehmigte Guthaben des Opfers an die Adresse des Angreifers ausführte.

PeckShield kennzeichnete das Problem innerhalb von Stunden nach den ersten bösartigen Transaktionen öffentlich; On-Chain-Ermittler oberflächten das Muster, und Unizen stoppte den betroffenen Vertrag.

Nachwirkungen

  • Unizen-Gründer Sean Noga lieh persönlich Mittel an das Unternehmen, um sofortige Nutzererstattungen zu finanzieren.
  • Nutzer, die unter 750.000 $ verloren hatten, wurden erstattet; größere Verluste wurden über eine separate Verhandlungsschiene adressiert.
  • Der Vertrag wurde gepatcht und neu deployt mit korrekter Validierung externer Aufrufe.
  • Der Angreifer wusch über Tornado Cash; keine öffentliche Wiederherstellung.

Warum es zählt

Unizen ist einer von drei strukturell ähnlichen März-2024-Approval-Bug-Vorfällen — neben WOOFi und Dolomite —, die das wiederkehrende DEX-Aggregator-Muster hervorhoben: Nutzer erteilen Approvals an einen Vertrag; der Vertrag hat einen Pfad, der einen unvalidierten externen Aufruf ausführt; jeder Aufrufer kann die genehmigten Guthaben entziehen.

Die strukturelle Lehre ist dieselbe, die bei Furucombo, Transit Swap und LI.FI wiederholt wird: Vertrags-Upgrades, die den Swap-Ausführungspfad berühren, müssen end-to-end neu auditiert werden, nicht als Routine-Patches behandelt werden. Die Angriffsfläche eines approval-haltenden Aggregators ist die Vereinigung aller Code-Pfade, die nach erteiltem approve() erreichbar sind, über die gesamte Upgrade-Historie des Vertrags hinweg.

Die Reaktion des Unizen-Teams — gründer-geliehene Sofort-Erstattungen — war ungewöhnlich schnell und vollständig für die Verlustgröße. Sie setzte eine glaubwürdige Messlatte dafür, wie ein Klein-Protokoll-Team einen mittelgroßen Exploit glaubwürdig bewältigen kann, ohne Nutzervertrauen zu zerstören.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-unizen-hack-march-2024
  2. [02]beincrypto.comhttps://beincrypto.com/unizen-defi-hack-million/
  3. [03]web3isgoinggreat.comhttps://www.web3isgoinggreat.com/?id=unizen-hack

Verwandte Einträge