Schweigen von HectorDAO nach 2,7-Millionen-Dollar-Hack schockiert Investoren

Investoren der dezentralen autonomen Hector-Organisation HectorDAO im Fantom-Netzwerk fordern die Kontrolle über die verbleibenden Mittel des Protokolls, nachdem Tea angeblich nach einem Hackerangriff am 16. Januar, der zu Verlusten in Höhe von 2,7 Millionen US-Dollar führte, die gesamte Kommunikation eingestellt hatte.

In einem Gespräch mit CryptoMoon erklärte ein HectorDAO-Investor, der anonym bleiben möchte, dass das HectorDAO-Team am 19. Januar die Kommunikation mit seiner Community eingestellt habe. Der Quelle zufolge wurden im September 2023 alle sozialen Kanäle des Projekts stummgeschaltet.

Zu diesem Zeitpunkt erlaubte das HectorDAO-Team noch die Kontaktaufnahme über eine E-Mail-Adresse der Google-Gruppe. Allerdings hat das DAO diese Gruppe angeblich irgendwann vor dem 19. Januar gelöscht.

Erschwerend kommt hinzu, dass der Hack genau zu dem Zeitpunkt stattfand, als das Protokoll plante, sich selbst aufzulösen und Vermögenswerte an die Anleger zurückzugeben. Vorherige Sicherheitswarnungen seien angeblich ignoriert worden.

Nach Angaben des Blockchain-Sicherheitsunternehmens CertiK informierten seine Forscher das HectorDAO-Team über das „Zentralisierungsrisiko“, das von der Funktion „addEligibleWallet“ ausgeht, die Hauptursache des Exploits, und empfahlen Schritte zur Minderung dieses Risikos.

Das HectorDAO-Team hat sich angeblich aus unbekannten Gründen entschieden, die empfohlenen Änderungen nicht umzusetzen. CertiK verwies CryptoMoon auf seinen offiziellen Prüfbericht, in dem es heißt, dass die Funktion von jedem Konto mit Moderatorrechten aufgerufen werden könne.

Schweigen von HectorDAO nach 2,7-Millionen-Dollar-Hack schockiert Investoren

HectorDAO erzählt eine andere Version der Geschichte und behauptet, dass das Protokoll mit CertiK zusammengearbeitet habe, um eine gründliche Smart-Contract-Sicherheitsanalyse durchzuführen, und dass entgegen der Aussage von CertiK „alle Vermögenswerte vor dem Start des Produktionsanspruchsprozesses in einem Redemption Vault gesichert wurden“. .“

Blockchain-Analysen haben seitdem gezeigt, dass der Angreifer angeblich Zugriff auf das Deployer-Konto des Teams hatte, was darauf hindeutet, dass der Exploit entweder ein Insider-Job oder das Ergebnis einer Kompromittierung des privaten Schlüssels war. Die letzte bekannte Mitteilung des Entwicklungsteams an Investoren erfolgte am 18. Januar, bevor es still wurde.

Das @Hector_Network erlitt diesen Montag seinen dritten Hack. Es ist mit ziemlicher Sicherheit ein Insider-Job eines verärgerten Entwicklerteams.

Ich habe ein Post-Mortem dieses Exploits erstellt und erklärt, wie mehrere Deployer-Wallets dieses Ereignis orchestriert haben.

– lilbagscientist (@lilbagscientist) 19. Januar 2024

Die Ursprünge des HectorDAO-Hacks

Die Geschichte von HectorDAO beginnt im Jahr 2021, als seinen frühen Investoren erlaubt wurde, den DAO-Token HEC mit einem Abschlag über DAO-Anleihen zu kaufen. Die durch diesen Prozess gesammelten Mittel flossen in die Staatskasse des DAO, wo theoretisch jeder HEC-Token das Eigentum an einem Teil der Staatskasse darstellte, der reinvestiert werden konnte, um Rendite für die Token-Inhaber zu erwirtschaften.

Auf seinem Höhepunkt verfügte das HectorDAO-Finanzministerium über digitale Vermögenswerte im Wert von über 100 Millionen US-Dollar.

Doch mit dem Beginn des Krypto-Winters begannen die Probleme. Laut Daten von CoinMarketCap war der Preis von HEC bis zum 1. Mai 2023 um fast 99 % eingebrochen. Gleichzeitig verlor auch das HectorDAO-Finanzministerium an Wert.

Diese Schwierigkeiten verschärften sich, als der Multichain-Bridge-Hack im Wert von 1,5 Milliarden US-Dollar am 6. Juli 2023 eine Ansteckung im Fantom-Ökosystem verursachte. Dies führte zu weiteren Verlusten in Höhe von 8 Millionen US-Dollar für HectorDAO, da einige seiner Treasury-Vermögenswerte von ihren Ethereum-Sicherheiten getrennt wurden.

Nach diesem Vorfall beschlossen die HectorDAO-Investoren, das Unternehmen aufzugeben, und stimmten im Juli 2023 dafür, das DAO aufzulösen und seine Gelder an die Nutzer zurückzugeben. Trotz der Abstimmung war der Großteil der 16 Millionen US-Dollar, die das Finanzministerium zum Zeitpunkt der Abstimmung besaß, bis zum 15. Januar 2024, dem Vorabend des HectorDAO-Hacks, noch nicht an die Anleger ausgeschüttet worden.

Am 15. Januar versuchte das HectorDAO-Team, die Staatsgelder endlich zu verteilen, indem es sie in einen neuen Vertrag überführte, aus dem sie eingelöst werden konnten. Allerdings übertrug ein böswilliges Konto sofort Vermögenswerte im Wert von 2,7 Millionen US-Dollar auf sich selbst, nachdem es nur 0,0001 HEC eingezahlt hatte.

Kurz darauf schloss das Team die Rücknahmeplattform und alle verbleibenden Vermögenswerte wurden zurück in den Treasury-Vertrag übertragen. Die Rücknahmen wurden seitdem nicht wieder geöffnet.

Am 18. Januar gab das HectorDAO-Team bekannt, dass die Einlösungsplattform gehackt wurde. „Hector Network bedauert, Ihnen mitteilen zu müssen, dass es zu einer Sicherheitsverletzung kam, als das Protokoll im Rahmen der Liquidation Token-Inhaber einlöste, und am 15. Januar 2024 etwa 2,7 Millionen USDC gestohlen wurden“, heißt es darin.

Das Team behauptete, es untersuche den Verstoß „aktiv“ und werde in Zukunft Aktualisierungen bereitstellen. In der Zwischenzeit hieß es, „der Rücknahmeprozess sei vorerst verschoben.“

Nach der Ankündigung des Hacks gaben einige Token-Inhaber dem Entwicklungsteam die Schuld und behaupteten, dass der Hack entweder das Werk eines betrügerischen Entwicklers oder ein kompromittierter privater Schlüssel sei. Sie argumentierten, dass man dem Team nicht länger vertrauen könne, die Gelder der DAO zu sichern.

1/ Mitglieder der @hector_network-Community haben kürzlich ihre Besorgnis darüber geäußert, dass ihrer Meinung nach der Rücknahmevertrag zuvor für 2,7 Millionen US-Dollar ausgenutzt wurde.

Eine oberflächliche Untersuchung der Fakten

– 0xBoboShanti (@ 0xBoboShanti) 15. Januar 2024

Am 19. Januar veröffentlichte der Blockchain-Analyst Lilbagscientist einen detaillierten Obduktionsbericht über den Angriff und zitierte dabei Daten von Etherscan. Ihren Angaben zufolge begannen die Vorbereitungen für den Angriff am 16. Dezember 2023, als das HectorDAO-Deployer-Konto 0,0001 HEC an den Angreifer schickte. Diese 0,0001 HEC blieben bis zum 15. Januar auf dem Konto.

Von 00:32 Uhr UTC bis 00:43 Uhr am 15. Januar wurde eine Reihe von 14 Transaktionen vom Treasury Multisig Wallet des HectorDAO-Teams an Ethereum übermittelt. Nach der Bestätigung führten diese Transaktionen dazu, dass einige der Treasury-Gelder an das HectorDAO Temporary Treasury Multisig übertragen wurden, während andere an den Hector Liquidation Manager gesendet wurden.

Der Hector-Liquidationsmanager tauschte dann einige der Token an einer dezentralen Börse gegen andere aus, bevor er sie an das Temporary Treasury Multisig schickte. Am Ende dieses Prozesses wurde die gesamte HectorDAO-Schatzkammer an das Temporary Treasury Multisig überwiesen.

Zwischen 3:14 und 4:19 Uhr am 15. Januar wurden weitere 16 Transaktionen von der Temporary Treasury Multisig durchgeführt und die Gelder in den Hector Redemption Treasury-Vertrag übertragen.

Um 5:12 Uhr erteilte der Angreifer eine Token-Genehmigung, die die Ausgabe von bis zu 1 HEC durch den Hector-Einlösungsvertrag ermöglichte. Unmittelbar danach zahlten sie 0,0001 HEC in den Vertrag ein.

Eine Minute später setzte das Deployer-Konto des Teams die Wallet des Angreifers auf die Whitelist, indem es die Funktion addEligibleWallet im Token Vault-Vertrag der Plattform aufrief. Diese Transaktion legte auch die Rückzahlungsrate auf USD Coin (USDC) im Wert von 2,7 Millionen US-Dollar fest.

Um 5:59 Uhr rief der Angreifer „mintWithdraw“ zum Token Vault-Vertrag an. Dies führte dazu, dass der Hector-Einlösungsvertrag 2,7 Millionen US-Dollar in USDC an den Angreifer schickte und die eingezahlten 0,0001 HEC verbrannte. Diese Transaktion hat den Angriff abgeschlossen.

Keine klaren Fortschritte

Das letzte Update der HectorDAO-Website wurde am 18. Januar veröffentlicht. Im letzten Absatz heißt es, dass der Einlösungsprozess „vorerst verschoben“ wird.

„Hector Network arbeitet unermüdlich daran, dieses Problem anzugehen, ist bestrebt, während des gesamten Prozesses Transparenz zu wahren und Sie über alle Entwicklungen auf dem Laufenden zu halten“, schrieb das Team.

Unterdessen sagen HectorDAO-Investoren, dass sie angesichts wiederholter gescheiterter Versuche, die Entwickler des Protokolls zu kontaktieren, rechtliche Schritte in Betracht ziehen. Ursprünglich waren Zahlungen für März geplant, um die Anleger zu entschädigen, wenn die DAO liquidiert wird. Die Untersuchung des Hacks dauert an.

CryptoMoon hat versucht, das HectorDAO-Team um einen Kommentar zu bitten, erhielt jedoch zum Zeitpunkt der Veröffentlichung keine Antwort.

Weiterlesen

2024-02-13 18:11