Am 10. März wurde bekannt, dass das DeFi-Kreditprotokoll Compound Finance erneut eine Frontend-Sicherheitslücke erlitten hat. Mehrere Nutzer berichteten, dass die offizielle Website des Projekts ungewöhnliche Aktivitäten zeigte und auf eine vermutete Phishing-Seite umgeleitet wurde. Dieser Vorfall gilt als das neueste Beispiel in einer Reihe von Website-Übernahmen bei DeFi-Plattformen in letzter Zeit.
Laut einer Erklärung des Sicherheitsteams des Projekts auf dem Governance-Forum wurde die Phishing-Seite durch die Nachahmung einer ähnlichen Domain „compOOnd“ erstellt, um Besucher zu täuschen. Das Team betonte jedoch, dass bisher keine Verluste von Nutzerfonds gemeldet wurden und die Zugangsdaten der betroffenen Infrastrukturkonten bereits ausgetauscht wurden. Das Systemrisiko sei unter Kontrolle.
Dies ist bereits das zweite Mal innerhalb von weniger als zwei Jahren, dass die Frontend-Seite von Compound angegriffen wurde. Im Juli 2024 wurden mehrere DeFi-Projekte, die auf Squarespace gehostet werden, Ziel eines Hackerangriffs, bei dem auch die Website von Compound betroffen war. Sicherheitsexperten weisen darauf hin, dass mit zunehmender Automatisierung von Phishing-Tools die technischen Hürden für solche Angriffe sinken.
In diesem Fall konnten die Nutzerfonds geschützt werden, weil die wichtigsten Transaktionsschnittstellen unterschiedlich implementiert sind. Laut offiziellen Angaben nutzt die Subdomain app.compound.finance, die für Wallet-Verbindung und Transaktionen zuständig ist, das IPFS-Netzwerk. Dadurch kann das Sicherheitsteam die Integrität des Codes unabhängig überprüfen, was das Risiko von Frontend-Manipulationen reduziert.
Obwohl bei diesem Vorfall keine Gelder verloren gingen, schwächt eine Reihe von Problemen die Marktvertrauen in Compound, das einst zu den führenden DeFi-Protokollen gehörte. In den vergangenen Jahren gab es immer wieder Streitigkeiten bezüglich Betrieb und Governance. So wurde das Compound DAO zuvor wegen potenzieller Interessenkonflikte mit dem Risikomanagement-Dienstleister Gauntlet kritisiert.
Bereits 2022 führte ein Bedienfehler dazu, dass der cETH-Markt im Wert von über 8 Milliarden US-Dollar für etwa eine Woche pausierte, bis technische Korrekturen durchgeführt wurden. Außerdem kam es 2021 bei einem Protokoll-Upgrade zu einer fehlerhaften Token-Verteilung, bei der versehentlich etwa 1,5 Milliarden US-Dollar an Token an Nutzer ausgegeben wurden.
Experten betonen, dass mit dem Wachstum der DeFi-Branche die Frontend-Sicherheit, Domain-Schutz und Governance-Transparenz zu entscheidenden Faktoren für die langfristige Stabilität der Protokolle werden. Für Kreditplattformen ist jede Sicherheitslücke auf der Website eine potenzielle Angriffsfläche für Phishing- und Betrugsversuche.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Aave steht vor Gericht wegen $73M ETH-Freeze im Zusammenhang mit dem Kelp-DAO-Exploit
Aave LLC hat am 1. Mai in einem Bundesgericht eine Eilantragstellung eingereicht, um eine Anordnung aufzuheben, die rund 73 Millionen US-Dollar in Ether eingefroren hatte, die mit dem Kelp-DAO-Exploit des letzten Monats in Verbindung stehen, heißt es in der Einreichung. Der Antrag richtet sich gegen Beschränkungen für das Verschieben der wiederhergestellten Gelder durch den Arbitrum DAO, während Kläger aus einem separaten y
CryptoFrontier1Std her
Der CEO von Zondacrypto verschwindet am 5. Mai mit 4.500 Bitcoin-Private-Keys; der aktuelle CEO flieht nach Israel
Laut BlockBeats ist am 5. Mai der ehemalige CEO der polnischen Krypto-Börse Zondacrypto verschwunden. Er soll 2022 mit den privaten Schlüsseln zu einem Cold Wallet abgetaucht sein, das 4.500 BTC umfasst (aktuell im Wert von über 340 Millionen US-Dollar). Der amtierende CEO gab zu, dass das Wallet inzwischen nicht mehr zugänglich ist, und soll Berichten zufolge nach Israel geflohen sein.
GateNews1Std her
Payward behauptet $25M Krypto-Verwahrbetrug gegen Etana
Payward, das Mutterunternehmen der Krypto-Börse Kraken, hat laut der Klage eine Klage eingereicht und wirft Etana sowie dem CEO des Unternehmens vor, in Höhe von 25 Millionen US-Dollar Krypto-Verwahrungsbetrug begangen zu haben. Die Vorwürfe drehen sich um Behauptungen, dass Kundengelder missbraucht, vermischt und im Rahmen eines „Ponzi-ähnlichen“ Schemas verschleiert wurden
CryptoFrontier3Std her
Bisq-Protocol angegriffen, ungefähr 11 BTC gestohlen wegen fehlender Validierungsmechanismen
Laut offizieller Mitteilung, die von ChainCatcher berichtet wurde, wurde das Bisq-Protokoll kürzlich angegriffen, wodurch es zu einem Diebstahl von ungefähr 11 BTC kam, da Validierungsmechanismen fehlten. Die Angreifer nutzten eine Schwachstelle bei einer negativen Miner-Gebühr aus, um Gelder über Multi-Signature-Transaktionen zu übertragen.
Bisq ist
GateNews3Std her
Aave kontert einen Notfallantrag: 73 Millionen US-Dollar ETH eingefroren: „Der Dieb besitzt nicht, was er gestohlen hat“
Aave hat beim US-Bezirksgericht für den südlichen Bezirk von New York einen Eilantrag eingereicht und fordert die Aufhebung der Beschlagnahme von 30.766 ETH (rund 73,0 Millionen US-Dollar). Kernaussage: Die Beute gehört weiterhin den ursprünglichen Nutzern, der Dieb kann das Eigentum nicht erlangen; die Beute kehrt bei der Rückbuchung durch das Sicherheitskomitee von Arbitrum unmittelbar an die Geschädigten zurück; die Belege zu der Nordkorea-Gruppe Lazarus Group gelten als Gerüchte, die Anhörung soll voraussichtlich Ende Mai stattfinden. Der Fall wird die DeFi-Governance sowie das Risiko der künftigen Vermögenszuordnung beeinflussen.
ChainNewsAbmedia4Std her
Sechs ehemalige Spieler von Sevilla FC wurden in einen Shirtum-Krypto-Betrugsvorwurf angeklagt, die Verluste der Anleger übersteigen 24 Millionen Euro
Laut Cryptopolitan wurden sechs ehemalige Spieler des FC Sevilla wegen des Verdachts auf eine Beteiligung an dem Krypto-Betrugsschema „Shirtum“ angeklagt, wobei die Verluste der Anleger 24 Millionen Euro übersteigen (ungefähr 28 Millionen US-Dollar). Die in der Strafanzeige genannten Spieler sind Papu Gómez, Lucas Ocampos, Ivan Rakitić,
GateNews4Std her
