Angreifern ist es gelungen, mehrere Hunderttausend US-Dollar aus Smart Contracts der DeFi-PLattform Opyn abzuziehen. Das Team bemüht sich um Schadensbegrenzung .

Eigentlich ist Opyn angetreten, um Anlegern in DeFi eine Möglichkeit zu geben, sich gegen Verluste abzusichern. Durch sogenannte oToken können Opyn-User sich mit Pull- und Put-Optionen gegen Kurs-Verluste beziehungsweise Anstiege absichern. Offenbar war es um die Sicherheit des Opyn Smart Contracts weniger gut bestellt: Eine Schwachstelle hat es Angreifern nun erlaubt, mindestens 371.260 Einheiten des Stable Coin USDC aus dem Opyn Ökosystem abzuziehen. Betroffen sind hoder von oToken, die mit USDC hinterlegte ETH Put Contracts zum Verkauf angeboten haben.

Segen und Fluch: Das „De“ in DeFi macht Opyn zu schaffen

Dass die Plattform den Betrieb nicht ausgesetzt hat, wie es beispielsweise zentralisierte Bitcoin-Börsen im Falle eines Hacks häufig tun, hat einen einfachen Grund: Es ist nicht möglich, das Protokoll, das auf automatisch ablaufenden Smart Contracts basiert, anzuhalten. Es muss am offenen Herzen operiert, sprich: gepatcht werden.

Der Exploit wurde entdeckt, nachdem einige User im Discord der DeFi-Plattform verdächtige Transaktionen meldeten.

Viele Betroffene zeigten Verständnis dafür, dass es um die Wiederbeschaffung ihrer Einlagen schlecht bestellt ist – und lassen durchscheinen, dass ihnen das Risiko von DeFi bewusst war:

Ich bin sicher, dass sich viele hier darüber ärgern, Geld zu verlieren, was sie höchstwahrscheinlich getan haben, wenn sie ETH-Puts verkauft haben (ich habe es auch getan). Risikobeurteilung ist ein großer Teil des DeFi-Spiels… es ist wichtig zu wissen, was sie sind und sie effektiv bewerten zu können. DeFi steckt noch in den Kinderschuhen und wird noch getestet, und es versteht sich von selbst, dass es weitgehend unreguliert ist. Diese saftigen Erträge/Prämien sind. Nicht. Risikofrei.

mahnt ein Opyn-Kunde. Andere zeigten sich indes weniger gnädig – manche drohen gar, Opyn bei der US-Wertpapierbehörde SEC zu melden…

Hallo, Ich habe viel Geld verloren. Wird Opyn es mir zurückzahlen?
Ich werde euch der SEC + FINRA melden, wenn ich Geld verliere. Hallo?

… und ernten dafür wenig Beifall:

Ich habe, wie viele andere auch, bei diesem Hack eine Menge Geld verloren, aber es war ein Risiko, das ich eingegangen bin. Ich unterstütze das, was ihr [Opyn, Anm. d. R. ] in diesem Bereich tut, und vertraue darauf, dass ihr weiter tun werdet, was das Beste für eure User ist. Bitte haltet uns auf dem Laufenden. An die Leute, die ihr Geld zurückverlangen, STFU! Ihr seid erwachsen und solltet wissen, dass damit Risiken verbunden sind. Wenn ihr das Risiko nicht aushaltet, hört auf zu Zocken,

Schwachstelle trotz Audit

Opyn hatte seine Smart Contracts im Februar einem Audit unterzogen – die betroffene Schwachstelle hat sich anscheinend bei einem späteren Update ins Protokoll geschlichen, wie Krypto-Twitterati-Gzeon herausgefunden hat. Das Opyn Team arbeitet nun fieberhaft an der Schadensbegrenzung. Mit Unterstützung von Whitehat Hackern ist es Opyn gelungen, knapp 575.000 USDC aus gefährdeten Smart Contracts („Vaults“) in Sicherheit zu bringen. Opyn hat für die kommenden Tage eine detaillierte Analyse des Vorfalls versprochen.